Des attaquants ont compromis un prestataire frontend tiers et injecté du JavaScript malveillant sur le site de Polymarket, détournant environ 3 millions de dollars via des transactions frauduleuses.
Des attaquants ont commencé à exploiter activement une faille critique de falsification de requête côté serveur, non authentifiée, dans Cisco Unified Communications Manager, suivie sous CVE-2026-20230, en se servant du service WebDialer pour écrire des fichiers et déposer des webshells JSP sur des serveurs de téléphonie d'entreprise.
Xsolis, éditeur américain de logiciels d'IA pour la santé, a révélé qu'une attaque par hameçonnage en janvier avait exposé les données personnelles et de santé de près de 1,4 million de personnes.
Tata Electronics a confirmé une cyberattaque après la publication par World Leaks de plus de 200 000 fichiers volés, dont des documents évoquant Apple et Tesla selon des chercheurs.
Un identifiant d'API dormant a permis à des attaquants de compromettre la plateforme d'intelligence concurrentielle Klue et de récolter les jetons OAuth des applications connectées de ses clients, exfiltrant des enregistrements Salesforce d'entreprises comme Huntress et Recorded Future lors d'une attaque de la chaîne d'approvisionnement ensuite attribuée au groupe d'extorsion Icarus.
Victim
Klue (et ses clients dont Huntress et Recorded Future)
Nintendo of America a confirmé que des attaquants avaient dérobé des données d'enquêtes internes auprès des employés sur TinyPulse, une plateforme RH tierce qu'elle utilisait, après que le groupe SHADOWBYT3$ a prétendu avoir exfiltré environ 859 Mo de données et réclamé une rançon de 2 millions de dollars — tout en soulignant que les systèmes et les données clients de Nintendo n'avaient pas été touchés.
L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.
Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.
Un compte de contributeur détourné a servi à republier 144 paquets du populaire scope npm @mastra (agents d'IA) avec une dépendance malveillante typosquattée, easy-day-js, qui téléchargeait un cheval de Troie d'accès à distance multiplateforme et un voleur de cryptomonnaies sur toute machine de développeur ou système de build qui les installait.
Des attaquants ont dérobé une clé d'API CDN à Awesome Motive et altéré le JavaScript servi aux extensions WordPress OptinMonster, TrustPulse et PushEngage, créant en silence des comptes administrateurs malveillants et installant des portes dérobées sur les sites dont les administrateurs connectés chargeaient le code piégé.
L'équipe de recherche sur les menaces de Socket a mis au jour une famille coordonnée de 152 extensions Chrome « fonds d'écran animés » pour nouvel onglet, réparties sur 38 comptes éditeurs et trois marques, qui enregistraient secrètement la télémétrie des utilisateurs et déguisaient les visites générées par les extensions en faux trafic de recherche organique Google, alors qu'elles déclaraient ne collecter aucune donnée.
Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.
Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.
Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.
Oracle a publié une alerte d'urgence hors calendrier après que le groupe ShinyHunters a exploité une faille zero-day critique d'exécution de code à distance sans authentification dans PeopleSoft PeopleTools pour voler les données de plus de 100 organisations, en majorité des universités.
Google a publié une mise à jour d'urgence de Chrome corrigeant CVE-2026-11645, une faille mémoire de gravité élevée dans le moteur V8 qui permet à une page web piégée d'exécuter du code arbitraire et pour laquelle un exploit circule déjà.
ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.
Check Point a révélé que des attaquants, dont un affilié du rançongiciel Qilin, exploitaient activement une faille zero-day critique de contournement d'authentification (CVE-2026-50751) dans ses produits VPN Remote Access et Mobile Access pour se connecter sans mot de passe valide.
Des attaquants ont exploité une faille de vérification dans l'outil de récupération de compte assisté par IA d'Instagram, High Touch Support, pour déclencher des réinitialisations de mot de passe et détourner 20 225 comptes avant que Meta ne détecte et désactive l'outil.
Cisco a alerté sur une faille zero-day non corrigée et de haute gravité dans Catalyst SD-WAN Manager (CVE-2026-20245), activement exploitée pour exécuter des commandes arbitraires et obtenir les privilèges root, après que Mandiant a signalé un nombre limité d'attaques réelles.
Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.
Des chercheurs ont révélé IronWorm, un voleur d'informations auto-propagateur écrit en Rust qui a compromis 36 paquets npm, dérobant les secrets de développeurs et de pipelines CI puis republiant des paquets piégés à l'aide d'identifiants de publication npm volés.
La mise à jour de sécurité Android de juin 2026 de Google a corrigé 124 vulnérabilités, dont CVE-2025-48595, une faille de dépassement d'entier activement exploitée dans l'Android Framework qui permet à un attaquant local d'élever ses privilèges sans interaction de l'utilisateur.
Le 15 mai 2026, plus de 25 Go de données internes de la plateforme française de gestion documentaire Djaboo (djaboo.com) ont été publiés sur un forum cybercriminel, dont un export complet de base de données et les enregistrements de 12 378 comptes CRM, 6 372 entreprises clientes et 13 578 personnes.
OpenAI a confirmé en mai 2026 que deux appareils d’employés avaient été compromis via l’attaque sur la chaîne d’approvisionnement du paquet npm TanStack, permettant l’exfiltration d’identifiants depuis des dépôts internes contenant ses certificats de signature logicielle.
Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.
Le 13 mai 2026, une base de 256 319 enregistrements attribuée à la plateforme française de livraison Woop (woopit.fr) a été mise en vente sur un forum cybercriminel, exposant noms, adresses postales, numéros de téléphone, e-mails, dates de naissance et données bancaires.
Le 12 mai 2026, un acteur malveillant connu sous le pseudonyme ChimeraZ a publié un fichier JSON de 85 Mo contenant environ 6 410 profils issus d'une plateforme de confiance numérique liée à LuxTrust et Thales, exposant noms, e-mails, téléphones, organisations et rôles de comptes.
Le 11 mai 2026, Once For All a signalé un accès non autorisé à sa plateforme de conformité B2B Actradis, exposant des données de contact professionnelles (noms, e-mails pro, téléphones et coordonnées) ; une base diffusée depuis début mai comptait environ 305 000 enregistrements.
Le registrar français BookMyName a détecté le 5 mai 2026 un incident de sécurité au cours duquel un attaquant a exploité une vulnérabilité pour modifier frauduleusement des données de contact de domaines, exposant identifiants, noms, e-mails, téléphones et adresses postales de certains clients.
Le 3 mai 2026, un acteur malveillant sous le pseudonyme Lagui a publié une base de données attribuée à Actradis, plateforme française de gestion de documents de conformité, exposant environ 82 611 fiches clients et 222 473 suivis internes.
ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.
Le 30 avril 2026, le studio français de jeux vidéo Ankama (Dofus, Wakfu) a révélé une cyberattaque ayant donné un accès non autorisé à des données de comptes — noms, emails, villes, adresses IP, historique de commandes et numéros de carte partiels — touchant des centaines de milliers de joueurs.
En avril 2026, la communauté de jeu Reborn Gaming a subi une fuite de données due à une vulnérabilité dans cPanel et WebHost Manager (WHM). La fuite a exposé 126 adresses e-mail uniques ainsi que des adresses IP et des identifiants Steam. Reborn Gaming a elle-même soumis les données à Have I Been Pwned.
Le 27 avril 2026, le groupe de ransomware Qilin a inscrit Exclusive Networks — distributeur mondial de solutions de cybersécurité basé en France — sur son site de fuites, menaçant de publier des données volées faute de négociation ; l'ampleur restait non confirmée.
Le 24 avril 2026, un hacker anonyme a affirmé sur Telegram avoir compromis l’infrastructure de supervision de STOR Solutions, opérateur de datacenter à La Réunion, revendiquant l’accès à des consoles de supervision internes et à plus de 120 000 onduleurs ; ces affirmations restent non vérifiées.
Le 19 avril 2026, la plateforme cloud Vercel (créatrice de Next.js) a confirmé un incident de sécurité lié à la compromission d'un outil tiers, exposant des variables d'environnement non sensibles et un nombre limité de comptes clients.
Une campagne mondiale automatisée exploitant une faille d'upload de fichiers non authentifié dans Magento a défacé plus de 7 500 sites e-commerce sur plus de 15 000 hôtes, déposant des fichiers malveillants sur des boutiques liées à Toyota, Fiat, Asus et FedEx.
En avril 2026, un acteur malveillant a revendiqué sur DarkForums le vol de la base de données de FranceVerif.fr, exposant au moins 3 204 comptes uniques d'auteurs d'avis et de boutiques, dont noms, emails, téléphones, adresses postales et identifiants d'entreprise (SIRET/TVA).
Le prestataire français de sécurité email Alinto a laissé un cluster Elasticsearch non sécurisé exposant plus de 40 millions d’enregistrements SMTP (environ 4,5 millions d’adresses uniques) — métadonnées d’emails de L’Oréal, Renault, Carrefour, DHL et 14 000 comptes de l’État français.
En avril 2026, la plateforme de petite amie IA pour adultes My Lovely AI a subi une fuite de données qui a exposé plus de 100 000 utilisateurs. Les données comprenaient des invites créées par les utilisateurs et des liens vers les images générées par IA correspondantes, ainsi qu'un petit nombre de noms d'utilisateur Discord et X.
Début avril 2026, Synergy, prestataire français de solutions data et cloud, aurait été visé par une attaque par ransomware impliquant un accès non autorisé à ses systèmes et une probable menace sur des données clients exfiltrées ; l'ampleur et l'auteur n'ont pas été divulgués.
En avril 2026, une base d’environ 105 000 clients français de Ledger — dérobée lors de la fuite de janvier 2026 chez son prestataire e-commerce Global-e et exposant noms, adresses postales, emails et numéros de téléphone — a été remise en vente sur un forum cybercriminel.
En avril 2026, la plateforme de jeu de blind test musical SongTrivia2 a subi une fuite de données publiée sur un forum cybercriminel, exposant environ 291 000 comptes : adresses e-mail, noms, identifiants, avatars, jetons d'authentification et hachages bcrypt de mots de passe.
Vers le 27 mars 2026, l’ESN française Scalian a révélé une cyberattaque ayant entraîné la fuite de données sensibles d’employés — noms, coordonnées, cartes d’identité, cartes grises et mandats de prélèvement — le nombre de salariés concernés n’étant pas encore connu.
Vers le 14 mars 2026, le fournisseur américain d'éthylotests antidémarrage Intoxalock a été frappé par une attaque de type DDoS ayant mis ses serveurs hors ligne pendant près d'une semaine, perturbant la calibration et les comptes clients et immobilisant environ 150 000 conducteurs dans 46 États.
Le 2 mars 2026, la plateforme de billetterie Vivaticket a révélé une attaque par ransomware du groupe RansomHouse ayant exfiltré des données clients — noms, e-mails, codes postaux et historique d'achat — touchant les usagers de 3 500 sites partenaires dont le Louvre et la BnF.
En mars 2026, un hacker solitaire connu sous le nom de Gr0lum a entièrement compromis le tracker BitTorrent français YggTorrent, exfiltrant environ 6,6 millions de comptes ainsi que des emails, hashes de mots de passe, adresses IP et 54 776 cartes bancaires en clair avant la fermeture définitive du site.
Cloud Imperium Games, studio derrière Star Citizen et Squadron 42, a révélé en mars 2026 qu'une attaque de janvier visant ses systèmes de sauvegarde avait donné un accès en lecture seule aux données des joueurs : noms, pseudos, dates de naissance et coordonnées.
En février, la plateforme de génération de bandes dessinées par IA KomikoAI a subi une fuite de données. L'incident a exposé 1 M d'adresses e-mail uniques ainsi que des noms, des publications d'utilisateurs et les requêtes IA utilisées pour générer du contenu. Les données exposées permettent d'associer des requêtes IA individuelles à des adresses e-mail spécifiques.
En février 2026, l'application de couples et de relations Lovora aurait subi une fuite de données qui a exposé 496 000 adresses e-mail uniques. Les données comprenaient également les noms d'affichage et les photos de profil des utilisateurs, ainsi que d'autres informations personnelles collectées via l'utilisation de l'application.
Un cybercriminel a revendiqué la fuite d'une base de 74 312 comptes d'entreprises clientes de l'éditeur français Cegid, exposant raisons sociales, coordonnées, identifiants bancaires (RIB/IBAN) et métadonnées de factures pour des clients en France, en Belgique et en Espagne.
Le 22 février 2026, un hacker se faisant appeler « 84City » a affirmé avoir compromis MaSalleDeSport, prestataire CRM et de gestion de plus de 2 000 salles de sport françaises (Basic-Fit, Fitness Park, ON AIR Fitness, L'Orange Bleue), exposant noms, téléphones, SMS et adresses de plus d'1 million de personnes potentielles.
Une base MongoDB non protégée liée au prestataire de vérification d'identité IDMerit a exposé environ 1 milliard d'enregistrements KYC dans 26 pays, dont noms, adresses, dates de naissance, numéros d'identité nationaux, téléphones et e-mails.
Le 21 février 2026, Innovorder — éditeur français de logiciels SaaS d'encaissement et de gestion pour la restauration — a confirmé une fuite de données après la mise en vente, sur un forum, d'un jeu d'environ 41 000 enregistrements obtenu via des identifiants compromis lors d'une autre violation.
En février 2026, les données personnelles de milliers de salariés ont été retrouvées en circulation sur le dark web après une fuite touchant Espace CE (Espace CSE), plateforme française de gestion des avantages pour les comités sociaux et économiques ; les champs exposés comprenaient noms, coordonnées, dates de naissance et mots de passe hachés.
En février 2026, l'application contre l'addiction au porno Quitbro aurait subi une fuite de données qui a exposé 23 000 adresses e-mail uniques. Les données comprenaient également les années de naissance des utilisateurs, leurs réponses aux questions de l'application et l'heure de leur dernière rechute enregistrée.
Un acteur malveillant a affirmé avoir dérobé des données liées à Kimsufi, la marque d'hébergement économique du fournisseur cloud français OVHcloud, évoquant l'exposition d'environ 1,6 million de clients et de données de 5,9 millions de sites hébergés ; OVHcloud a démenti, affirmant que l'échantillon ne provenait pas de ses systèmes.
En février 2026, le prestataire de vérification d'identité (KYC) Sumsub a révélé une intrusion datant de 2024 — restée invisible pendant ~18 mois — au cours de laquelle un attaquant a atteint un environnement de support client et exposé les noms, adresses email et numéros de téléphone de clients de plateformes crypto et fintech qu'il dessert.
En février 2026, la communauté de jeu en ligne Toy Battles a subi une fuite de données. L'incident a exposé 1 000 adresses e-mail uniques accompagnées de noms d'utilisateur, d'adresses IP et de journaux de discussion. À la suite de la fuite, Toy Battles a elle-même soumis les données à Have I Been Pwned.
Le 30 janvier 2026, une fuite de données chez Opquast — la société française de qualité web et de certification basée à Mérignac — a exposé les adresses e-mail d'une centaine de personnes.
Le 29 janvier 2026, Match Group — maison mère de Hinge, Match et OKCupid — a révélé une fuite après que le groupe ShinyHunters a détourné, par hameçonnage vocal, le compte Okta SSO d'un employé ; les données exposées incluent noms, dates de naissance, numéros de téléphone et adresses IP.
Le 29 janvier 2026, un vidage complet de la base de données de Reseau.site — une plateforme SaaS française pour commerçants et artisans — a exposé 126 998 fiches clients, dont noms, coordonnées, mots de passe hachés, numéros de carte bancaire et IBAN.
Le 23 janvier 2026, un acteur malveillant a revendiqué la fuite de la base de données de Scoring.fit, plateforme française de gestion de compétitions de fitness, exposant les données personnelles d'environ 83 000 athlètes, clubs et bénévoles inscrits aux événements.
Un jeu de données lié à TooEasy Agence Web, agence web et digitale française basée à Valence, a été mis en vente sur un forum du dark web, exposant environ 90 726 adresses e-mail uniques ainsi que des noms de clients, numéros de téléphone et données de recrutement.
En janvier 2026, un jeu de données d’environ 17,5 millions de comptes Instagram — noms d’utilisateurs, noms complets, adresses e-mail, numéros de téléphone et données de localisation partielles — a été mis en vente sur un forum du dark web, prétendument récolté via une fuite d’API de 2024.
Le 10 janvier 2026, un acteur malveillant a revendiqué une fuite de données chez l'agence web française ACRV.FR, affirmant avoir exfiltré des archives et des bases liées à plusieurs sites clients qu'elle héberge ou maintient ; la revendication n'est pas vérifiée et l'ampleur reste inconnue.
Le cabinet d'ingénierie français DCE Conseil a subi une fuite après la compromission du compte cloud d'un salarié au moyen d'identifiants volés, exposant environ 844 Go de fichiers techniques sensibles — dont des plans de prisons, d'une base militaire et de clients du luxe et de grands comptes — ensuite mis en vente sur BreachForums.
Début janvier 2026, le groupe LAPSUS$ a diffusé publiquement environ 40 Go de données extraites de 54 bases SQL de clients gérées par l'agence web française Dream Up (dream-me-up.fr), exposant les informations clients et contacts des sites e-commerce et vitrines qu'elle héberge.
Le 28 décembre 2025, une base de 205 403 prospects B2B de l'annuaire d'entreprises européen Europages a été signalée comme ayant fuité, exposant des coordonnées et données d'immatriculation (nom, poste, entreprise, adresses postale et email, téléphone, SIRET et numéro de TVA).
Fin décembre 2025, la plateforme de recrutement française HelloWork a révélé que les données d'environ 2,8 millions de candidats — noms, e-mails et éléments de profil professionnel — avaient été aspirées depuis sa CVthèque via un compte recruteur utilisé frauduleusement, puis mises en vente en ligne.
En décembre 2025, la plateforme de streaming musical SoundCloud a révélé une fuite au cours de laquelle un attaquant a exploité un système interne pour associer environ 29,8 millions d'adresses e-mail privées aux données de profils publics — soit environ 20% de ses utilisateurs ; aucun mot de passe ni donnée de paiement n'a été dérobé.
Un ancien employé de Coupang a accédé aux données personnelles de 33,7 millions de comptes clients de la plus grande plateforme e-commerce de Corée du Sud. Coupang a annoncé un plan d'indemnisation de 1,17 milliard de dollars ; le responsable de son e-commerce coréen a démissionné.
Le 10 novembre 2025, l'hébergeur web et VPS français OuiHeberg a été signalé comme ayant laissé fuiter des coordonnées de clients — noms, adresses e-mail, numéros de téléphone et adresses postales — à la suite d'un incident de sécurité touchant son infrastructure.
En novembre 2025, une base d'environ 5 millions d'enregistrements de la plateforme française d'abonnement de contenus pour adultes MYM a été diffusée sur un forum cybercriminel, exposant noms, emails, adresses postales, téléphones, adresses IP, dates de naissance et mots de passe hashés en MD5 ; les données remontent à une compromission de 2021.
Le 4 octobre 2025, Discord a révélé une fuite chez un prestataire tiers de support client, exposant des données de tickets de support et environ 70 000 photos de pièces d’identité (envoyées pour des recours de vérification d’âge), ainsi que noms, e-mails, adresses IP et informations de paiement partielles.
Le 9 septembre 2025, l'éditeur de logiciels de streaming Plex a révélé qu'un tiers non autorisé avait accédé à l'une de ses bases de données, exposant les adresses e-mail, noms d'utilisateur, mots de passe hachés et données d'authentification, et imposant une réinitialisation générale des mots de passe.
Le 28 juillet 2025, l'hébergeur français FranceLink a été frappé par le groupe de rançongiciel Akira, qui a chiffré environ 93% de ses serveurs et menacé de diffuser près de 20 Go de données clients exfiltrées.
En août 2025, Google a confirmé qu'une instance CRM Salesforce contenant les coordonnées de prospects professionnels de Google Ads avait été piratée par ShinyHunters (UNC6040) via une attaque par vishing, exposant environ 2,55 millions d'enregistrements (raisons sociales, e-mails et numéros de téléphone).
Le 13 août 2025, Partner Immo, éditeur français de logiciels en ligne de gestion locative et de copropriété, a été signalé comme cible d'un incident de type rançongiciel / fuite de données ; l'ampleur et les données exposées n'ont pas été confirmées publiquement.
En juin 2025, MaReads, le site destiné aux lecteurs et aux auteurs de fictions et de bandes dessinées en langue thaïe, a subi une fuite de données qui a exposé 74 000 enregistrements. La fuite comprenait des noms d'utilisateur, des adresses e-mail, des numéros de téléphone et des dates de naissance. MaReads est au courant de la fuite.
En juin 2025, les gros titres ont éclaté à propos d'une fuite de « 16 milliards de mots de passe ». En réalité, l'ensemble de données était une compilation de journaux de stealers accessibles au public, principalement réutilisés à partir de fuites plus anciennes, avec seulement une petite portion de contenu véritablement nouveau.
En mai 2025, l'hébergeur ColoCrossing a identifié une fuite de données qui a touché les clients de son produit de serveur virtuel ColoCloud. ColoCrossing a indiqué que l'incident était limité à sa plateforme cloud/VPS et provenait d'une vulnérabilité d'authentification unique.
Au cours de l'année 2025, Synthient a agrégé des milliards d'enregistrements de « données de menace » provenant de diverses sources internet. Les données contenaient 183 millions d'adresses e-mail uniques ainsi que les sites web sur lesquels elles avaient été saisies et les mots de passe utilisés.
Fin mars 2025, un acteur malveillant connu sous le pseudonyme « rose87168 » a affirmé avoir dérobé environ 6 millions d'enregistrements d'authentification depuis un serveur SSO/LDAP d'Oracle Cloud, touchant potentiellement plus de 140 000 locataires ; Oracle a d'abord nié toute fuite avant de confirmer une compromission en privé à ses clients.
Les opérateurs de Lazarus ont substitué le contrat d'implémentation lors d'une transaction multisig Safe de routine, siphonnant ~1,5 milliard de dollars en ETH et en dérivés d'ETH stakés depuis le portefeuille froid Ethereum de Bybit — le plus grand vol de cryptomonnaie en une seule fois de l'histoire.
En février 2025, 23 milliards de lignes de journaux de voleurs d'informations (stealer logs) ont été obtenues d'un canal Telegram connu sous le nom d'ALIEN TXTBASE. Les données contenaient 284 M d'adresses e-mail uniques ainsi que les sites web sur lesquels elles avaient été saisies et les mots de passe utilisés.
Début février 2025, la communauté de recettes Thermomix Espace-Recettes.fr (Rezeptwelt) de Vorwerk a été compromise via un serveur tiers, exposant noms, adresses postales, emails, numéros de téléphone, dates de naissance et préférences culinaires d'environ 3,3 millions d'utilisateurs dans plusieurs pays.
En janvier 2025, des journaux de logiciels voleurs (stealer logs) contenant 71 millions d'adresses e-mail ont été ajoutés à HIBP. Composée d'une adresse e-mail, d'un mot de passe et du site web sur lequel les identifiants ont été saisis, cette fuite marque le lancement d'une nouvelle fonctionnalité HIBP permettant de récupérer les sites web spécifiques sur lesquels les journaux ont été collectés.
Le 28 décembre 2024, le groupe de rançongiciels Space Bears a affirmé avoir compromis une base de données d'Atos ; après enquête, le géant français de l'informatique a conclu que ses propres systèmes n'avaient pas été touchés, attribuant les données concernées à une infrastructure tierce externe compromise.
Une attaque par rançongiciel révélée fin décembre 2024 a paralysé l'Arsoé de Soual, prestataire informatique agricole hébergeant les logiciels d'élevage de ~30 000 éleveurs dans une vingtaine de départements français ; les systèmes ont été chiffrés et une rançon exigée, sans exfiltration de données détectée.
Le 25 déc. 2024, l'extension Chrome de l'éditeur de sécurité Cyberhaven a été détournée via un hameçonnage et a diffusé une mise à jour malveillante qui a exfiltré cookies et jetons de session d'environ 400 000 utilisateurs sur 24 heures.
Le 26 novembre 2024, un jeu de données de comptes utilisateurs lié à JVS-Mairistem — éditeur français majeur de logiciels pour les mairies et collectivités — a été signalé en fuite, exposant noms, adresses email, logins, numéros de téléphone et la collectivité associée.
En 2024, le site de rencontres pour les 40 ans et plus Senior Dating a subi une fuite de données. Attribuée à une base de données Firebase exposée, la fuite incluait de nombreuses informations personnelles sur 766 000 utilisateurs du service, dont des adresses e-mail, des photos, des genres, des liens vers des comptes Facebook, des dates de naissance et des localisations précises…
En novembre 2024, l'application d'animation FlipaClip a subi une fuite de données qui a exposé près de 900 000 enregistrements en raison d'un serveur Firebase exposé. Les données concernées comprenaient le nom, l'adresse e-mail, le pays et la date de naissance. FlipaClip a indiqué que le problème a depuis été corrigé.
En octobre 2024, la plateforme de sports fantastiques SuperDraft a subi une fuite de données qui a exposé plus de 300 000 enregistrements clients. La fuite contenait 24 Go de données comprenant des adresses e-mail, des noms d'utilisateur, des achats, des latitudes et longitudes, des dates de naissance et des empreintes de mots de passe bcrypt.
En septembre 2024, le site web de « petite amie IA » Muah.AI a subi une fuite de données. La fuite a exposé 1,9 million d'adresses e-mail ainsi que des invites permettant de générer des images basées sur l'IA. Bon nombre de ces invites étaient de nature hautement sexuelle, beaucoup décrivant également des scénarios d'exploitation d'enfants.
Le 12 septembre 2024, le revendeur informatique français Cybertek a révélé une fuite de données clients liée à un prestataire informatique commun compromis, exposant noms, adresses e-mail et postales et numéros de téléphone ; mots de passe et données bancaires non touchés.
Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.
En août 2024, une série de vulnérabilités de sécurité a été identifiée au sein d'un conglomérat de services en ligne qui incluait le réseau de talents Explore Talent. Une API vulnérable a exposé les enregistrements personnels de 11,4 millions d'utilisateurs du service, dont 8,9 millions d'adresses e-mail uniques ont été fournies à HIBP.
En août 2024, une série de vulnérabilités de sécurité ont été identifiées au sein d'un conglomérat de services en ligne incluant le service de suivi GPS Tracki. Plusieurs vulnérabilités ont exposé les données personnelles de 372 000 utilisateurs du service, dont des noms et des adresses e-mail.
En août 2024, le site web de Maître Chris Leong, "un praticien de premier plan du Tit Tar en Malaisie", a subi une fuite de données. L'incident a exposé 27 000 adresses e-mail uniques ainsi que des noms, des adresses postales, des dates de naissance, des sexes, des nationalités et, dans de nombreux cas, des liens vers des profils Facebook.
En juillet 2024, des journaux de logiciels voleurs (info stealer logs) contenant 26 millions d'adresses e-mail uniques ont été rassemblés à partir de canaux Telegram malveillants. Les données contenaient 22 Go de journaux composés d'adresses e-mail, de mots de passe et des sites web sur lesquels ils étaient utilisés, tous obtenus par des logiciels malveillants s'exécutant sur des machines infectées.
En juillet 2024, la plateforme de gestion d'événements FNTECH a subi une fuite de données qui a exposé 10 000 adresses e-mail uniques. Les données contenaient des inscrits à divers événements, dont les participants de la liste d'inscription de la Roblox Developer Conference. Les données comprenaient également des noms et des adresses IP.
En 2024, le site de rencontres lesbiennes ladies.com a subi une fuite de données. Attribuée à une base de données Firebase exposée, la fuite comprenait de nombreuses informations personnelles sur 119 k utilisateurs du service, notamment des adresses e-mail, des photos, l'orientation sexuelle, le genre, la date de naissance ainsi que la latitude précise et…
Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.
Un accès obtenu par hameçonnage a permis à BlackSuit (lié à la Russie) de chiffrer l'infrastructure de KADOKAWA et la plateforme de partage vidéo Niconico, mettant les services hors ligne pendant deux mois. KADOKAWA a versé environ 2,9 M$ en cryptomonnaies — et BlackSuit a tout de même divulgué les 1,5 To dérobés.
Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.
Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
En mai 2024, 2 milliards de lignes de données comportant 361 millions d'adresses e-mail uniques ont été rassemblées à partir de canaux Telegram malveillants. Les données représentaient 122 Go répartis dans 1 700 fichiers contenant des adresses e-mail, des noms d'utilisateur, des mots de passe et, dans de nombreux cas, le site web sur lequel ils avaient été saisis.
Une campagne d'ingénierie sociale pluriannuelle menée par un personnage de mainteneur nommé « Jia Tan » a implanté une porte dérobée SSH dissimulée dans la bibliothèque de compression XZ Utils (liblzma) versions 5.6.0 et 5.6.1, notée CVSS 10,0 — découverte par hasard quelques jours avant qu'elle ne puisse atteindre les versions stables de Linux dans le monde entier.
En mars 2024, la communauté de jeux en ligne Mr. Green Gaming a subi une fuite de données qui a exposé 27 000 enregistrements d'utilisateurs. Reconnu sur leur serveur Discord, l'incident a exposé des adresses e-mail et IP, des noms d'utilisateur, des localisations géographiques et des dates de naissance.
En février 2025, le site de « doxing » Doxbin a été compromis par un groupe se faisant appeler « TOoDA » et les données ont été divulguées publiquement. La fuite comprenait 336 000 adresses e-mail uniques accompagnées de noms d'utilisateur.
En janvier 2024, 207 000 enregistrements de Spoutible ont été extraits d'une API mal configurée qui renvoyait par inadvertance des informations personnelles excessives. Les données comprenaient des noms, noms d'utilisateur, adresses e-mail et IP, numéros de téléphone (lorsqu'ils étaient fournis à la plateforme), genres et empreintes de mots de passe bcrypt.
Les opérateurs du rançongiciel Cactus ont frappé la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme de conseil Resource Advisor et exfiltrant environ 1,5 To de données — dont des scans de passeports et des NDA signés de clients tels que Hilton, PepsiCo et Walmart.
Victim
Schneider Electric — division Sustainability Business
En décembre 2023, le site de vidéos fétichistes de gonflables et de ballons InflateVids a subi une fuite de données. L'incident a exposé plus de 13 000 adresses e-mail uniques ainsi que des noms d'utilisateur, adresses IP, genres et empreintes de mots de passe SHA-1.
LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.
Un acteur malveillant a utilisé l'identifiant volé d'un compte de service — exposé via le compte Google personnel d'un employé — pour accéder au système de gestion des dossiers de support client d'Okta, lisant des fichiers HAR contenant des jetons de session et permettant le détournement de session contre des clients dont 1Password, BeyondTrust et Cloudflare.
Des attaquants ont utilisé des identifiants réutilisés issus de fuites antérieures pour accéder à des comptes 23andMe, puis ont exploité la fonctionnalité « DNA Relatives » pour collecter des données de généalogie et de profils génétiques de 6,9 millions d'utilisateurs à partir des connexions de proches compromis.
Une attaque par rançongiciel contre le fournisseur cloud régional IFX Networks s'est propagée à plus de 50 entités publiques et privées colombiennes — dont le ministère de la Santé, le pouvoir judiciaire et la Surintendance de l'industrie et du commerce — et a touché 762 organisations en Amérique latine.
En août 2023, PlayCyberGames, qui « permet aux utilisateurs de jouer à n'importe quel jeu doté d'une fonction LAN ou utilisant une adresse IP », a subi une fuite de données qui a exposé 3,7 millions d'enregistrements clients. Les données comprenaient des adresses e-mail, des noms d'utilisateur et des hachages de mots de passe MD5 avec une valeur constante dans le champ « salt ».
En août 2023, le site MagicDuel Adventure a subi une fuite de données qui a exposé 138 000 enregistrements d'utilisateurs. Les données comprenaient des noms de joueurs, des adresses e-mail et IP ainsi que des empreintes de mots de passe bcrypt.
Le gang de rançongiciel Play a compromis le fournisseur informatique suisse Xplain et a divulgué environ 65 000 documents sur le darknet, dont des fichiers sensibles de l'Administration fédérale provenant des départements de la justice, de la police et de la défense.
Le rançongiciel Play a compromis le prestataire suisse de services informatiques Xplain, exfiltrant 1,3 million de fichiers. Environ 65 000 documents appartenant à l'Administration fédérale suisse — y compris des contenus classifiés, des données personnelles et des mots de passe lisibles — ont été publiés sur le site de fuite de Play sur le dark web en juin 2023.
Victim
Xplain (prestataire suisse de services informatiques de l'Administration fédérale)
Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.
Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)
À la mi-2023, 300 Go de données contenant plus de 100 millions d'enregistrements de la plateforme chinoise de chat vidéo « Tigo », datant de mars de la même année, ont été découverts. Les données contenaient plus de 700 000 noms uniques, noms d'utilisateur, adresses e-mail et IP, genres, photos de profil et messages privés.
Des acteurs liés à la Corée du Nord ont trojanisé le client softphone 3CXDesktopApp, diffusant le maliciel SmoothOperator via une mise à jour signée légitimement à une base de plus de 600 000 organisations clientes — la première compromission en cascade documentée de la chaîne d'approvisionnement logicielle, elle-même rendue possible par une compromission antérieure du logiciel de trading X_TRADER.
Une base de données cloud non sécurisée et sans mot de passe appartenant au service d'autopartage iRent de Hotai Motor a exposé environ 4,2 téraoctets de données concernant plus de 400 000 clients, dont des photos de permis de conduire, des selfies et des numéros de carte bancaire partiels.
En novembre 2022, le site de jeux Abandonia, dédié aux jeux DOS classiques, a subi une fuite de données entraînant l'exposition de 920 000 dossiers d'utilisateurs uniques. Cette fuite s'ajoutait à une autre survenue 7 ans plus tôt, en 2015.
Un membre adolescent de Lapsus$ a compromis le Slack interne et les systèmes de développement de Rockstar Games par ingénierie sociale, puis a divulgué environ 90 séquences en cours de développement du jeu inédit Grand Theft Auto VI — l'une des plus grandes fuites de l'histoire du jeu vidéo.
Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.
En août 2022, le site web de MMORPG GGCorp a subi une fuite de données qui a exposé près de 2,4 millions d'adresses e-mail uniques. Les données comprenaient également des adresses IP, des identifiants et des empreintes MD5 de mots de passe.
Vers la fin 2022, 3,4 millions d'enregistrements clients d'iMenu360 (« La plateforme de commande en ligne n°1 la plus fiable au monde ») ont été exposés. Les données semblaient provenir de systèmes de commande utilisant la plateforme et contenaient des adresses e-mail et physiques, des latitudes et longitudes, des noms et des numéros de téléphone.
Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.
En mars 2023, la « plateforme cloud mondiale axée sur l'IA » Vultr a divulgué un incident de sécurité survenu chez un fournisseur tiers. Remontant à l'année précédente, l'incident a été attribué au fournisseur de services d'e-mail marketing ActiveCampaign et a entraîné l'exposition de 188 000 adresses e-mail uniques.
En avril 2022, le site britannique d'achat et de vente de billets de football Fanpass a subi une fuite de données qui a exposé 112 000 enregistrements clients. Les données concernées comprennent des noms, des numéros de téléphone, des adresses physiques, des historiques d'achat et des empreintes de mots de passe salées.
Des opérateurs de Lazarus ont compromis cinq des neuf nœuds validateurs de Ronin et falsifié des signatures de retrait, siphonnant 173 600 ETH et 25,5 millions d'USDC (~625 M$) — le plus important vol de cryptomonnaie jamais enregistré à l'époque.
Le groupe d'extorsion Lapsus$ a compromis l'ordinateur portable d'un ingénieur de support du sous-traitant Sitel d'Okta, obtenant une fenêtre d'accès de 25 minutes en janvier 2022 qui a touché deux locataires clients. L'intrusion n'est devenue publique que lorsque Lapsus$ a diffusé des captures d'écran en mars.
Le groupe d'extorsion Lapsus$ a accédé à une partie du code source de Mercado Libre et aux données d'environ 300 000 utilisateurs, affirmant avoir atteint 24 000 dépôts internes du géant latino-américain du commerce électronique et de la fintech.
Le service de livraison de repas de Yandex, Yandex.Eda, a divulgué les noms, numéros de téléphone, adresses, codes d'interphone et détails de commande de plus de 58 000 clients, ensuite reportés sur un site web public interactif. Le régulateur russe Roskomnadzor a ouvert une procédure et un tribunal de Moscou a infligé à l'entreprise une amende de 60 000 roubles.
À la veille de l'invasion russe, un effaceur destructeur déguisé en rançongiciel a corrompu des secteurs d'amorçage maîtres et des fichiers dans des dizaines d'organisations gouvernementales, informatiques et associatives ukrainiennes, défigurant des sites officiels et annonçant la dimension cyber de la guerre à venir.
Victim
Organisations gouvernementales, informatiques et associatives ukrainiennes
En janvier 2022, le site de « doxing » Doxbin, conçu pour divulguer les informations personnelles d'individus ciblés (« doxes »), a subi une fuite de données. La fuite a ensuite été divulguée en ligne et comprenait plus de 370 000 adresses e-mail uniques réparties entre des comptes d'utilisateurs et des doxes.
Une faille d'exécution de code à distance trivialement exploitable dans Apache Log4j 2, l'omniprésente bibliothèque de journalisation Java, a obtenu le score maximal CVSS 10.0 et exposé des centaines de millions d'appareils et d'applications dans le monde à une prise de contrôle instantanée via une simple chaîne de journalisation forgée.
Victim
Mondial (utilisateurs d'Apache Log4j dans le monde entier)
En novembre 2021, la plateforme de trading en ligne Robinhood a subi une fuite de données après qu'un agent du service client a été victime d'ingénierie sociale. L'incident a exposé plus de 5 millions d'adresses e-mail de clients et 2 millions de noms de clients.
Le groupe Black Shadow, lié à l'Iran, a compromis l'hébergeur israélien Cyberserve, puis divulgué l'intégralité de la base de l'application de rencontres LGBTQ Atraf — y compris la localisation des utilisateurs et leur statut VIH — après le non-paiement d'une rançon d'un million de dollars.
Une mauvaise configuration de serveur a exposé l'intégralité du dépôt Git de Twitch à un attaquant anonyme, qui a diffusé 125 Go de données — le code source complet avec l'historique des commits, les outils internes et trois ans de chiffres de rémunération des créateurs — sous forme de torrent sur 4chan.
Le portail suisse de comparaison de prix Comparis a été mis hors ligne par un rançongiciel et a fait face à une demande d'environ 400 000 dollars ; les enquêteurs ont ensuite constaté que les attaquants avaient accédé à certaines données internes de clients.
Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.
Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
En mai 2021, le site de triche pour Grand Theft Auto Online Paragon Cheats a subi une fuite de données qui a entraîné la fermeture du service. La fuite a exposé 188 000 enregistrements de clients comprenant des noms d'utilisateur, des adresses e-mail et IP.
Les données de 533 millions d'utilisateurs Facebook de 106 pays — dont numéros de téléphone, identifiants Facebook, noms complets, localisations, dates de naissance et certaines adresses e-mail — ont été publiées gratuitement sur un forum de piratage de bas niveau. Ces données avaient été collectées via une faille de l'importateur de contacts corrigée par Facebook en 2019.
Le groupe lié à la Chine Hafnium a enchaîné quatre zero-days d'Exchange Server (ProxyLogon) pour implanter des web shells et voler des e-mails ; après le correctif d'urgence de Microsoft, l'exploitation de masse par plusieurs groupes a compromis plus de 60 000 organisations dans le monde.
Victim
Clients Microsoft Exchange Server sur site (mondial)
Une plateforme néerlandaise de billetterie en ligne a laissé une sauvegarde de base de données exposée sur un serveur Azure non sécurisé ; un attaquant a téléchargé les données de 1,9 million de personnes et exigé 7 bitcoins (~337 000 $) pour ne pas les divulguer.
En février 2021, la plateforme de streaming indienne Gemplex a subi une fuite de données qui a exposé 4,6 millions de comptes utilisateurs. Les données touchées comprenaient des informations sur les appareils, des noms, des numéros de téléphone, des adresses e-mail et des empreintes bcrypt de mots de passe.
Yandex a révélé que l'un des trois administrateurs disposant d'un accès privilégié à son service de messagerie vendait un accès non autorisé aux boîtes mail des utilisateurs, compromettant 4 887 boîtes avant que l'équipe de sécurité interne ne détecte l'abus lors d'un contrôle de routine.
Le rançongiciel HelloKitty a chiffré des appareils de CD Projekt Red et exfiltré le code source de Cyberpunk 2077, The Witcher 3, Gwent et d'une version inédite de The Witcher 3. CDPR a refusé de payer ; les données ont été vendues aux enchères et auraient été cédées à un acheteur privé.
Des hacktivistes ont détourné le registre national de domaine du Sri Lanka et redirigé une dizaine de domaines .lk de premier plan — dont Google.lk et Oracle.lk — vers une page de propagande politique, en exploitant des identifiants administrateur exposés sur le dark web depuis 2012.
En janvier 2021, le site désormais disparu Date Hot Brunettes, qui proposait un service pour « rencontrer des femmes délaissées sachant garder un secret », a subi une fuite de données. L'incident a exposé 1,5 million d'adresses e-mail uniques ainsi que des adresses IP, des noms d'utilisateur, des biographies saisies par les utilisateurs et des hachages de mots de passe MD5.
Début 2021, le site de torrents polonais Devil-Torrents.pl a subi une fuite de données. Un sous-ensemble des données comprenant 63 000 adresses e-mail uniques et des mots de passe craqués a ensuite été diffusé sur un service populaire de partage de fuites de données.
Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.
Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
En décembre 2020, GamingMonk, la « plus grande communauté esport » d'Inde (depuis rachetée par MPL Esports et redirigée vers ce dernier), a subi une fuite de données. L'incident a exposé 655 000 adresses e-mail uniques ainsi que des noms, des identifiants, des numéros de téléphone, des dates de naissance et des empreintes bcrypt de mots de passe.
En octobre 2020, l'application de livraison de nourriture asiatique Chowbus a subi une fuite de données qui a conduit à l'envoi par e-mail de plus de 800 000 dossiers aux clients. L'e-mail contenait un lien vers un fichier CSV avec des données clients, dont des adresses postales, des noms, des numéros de téléphone et plus de 444 000 adresses e-mail uniques.
Le gang du rançongiciel Clop a piraté le géant allemand des logiciels d'entreprise Software AG, exigé une rançon de 23 millions de dollars, mis hors ligne les systèmes internes et divulgué plus d'un téraoctet de données volées de l'entreprise et de ses employés après l'échec des négociations.
Une base de données cloud mal configurée a exposé les dossiers d'environ 5,9 millions de clients de la plateforme de réservation hôtelière RedDoorz, ce qui en fait la plus grande violation de données de Singapour à l'époque et a valu une amende emblématique du PDPC à l'exploitant Commeasure.
En août 2020, le site web de partage de vidéos et d'images explicites de gore et de cruauté envers les animaux a subi une fuite de données. La fuite a exposé 74 000 adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP, des genres et des hachages de mots de passe SHA-1 non salés.
Evil Corp a déployé le rançongiciel WastedLocker contre Garmin, mettant hors ligne les services aéronautiques flyGarmin, Garmin Connect et la messagerie satellite inReach pendant cinq jours. Garmin a versé une rançon estimée à 10 M$ malgré les sanctions de l'OFAC visant Evil Corp.
Des attaquants ont utilisé le spear-phishing téléphonique contre des employés de Twitter pour atteindre un outil d'administration interne « agent », détournant 130 comptes de premier plan dont ceux d'Obama, Musk, Bezos et Apple, et publiant une arnaque de doublement de Bitcoin qui a rapporté environ 118 000 $.
Alors que les confinements liés à la pandémie portaient l'usage de Zoom à des niveaux records, plus de 500 000 identifiants de comptes Zoom récoltés par credential stuffing ont été vendus ou distribués gratuitement sur le dark web, tandis que des réunions ouvertes étaient détournées lors d'une vague d'incidents perturbateurs de « zoombombing ».
En février 2020, un immense trésor d'informations personnelles désigné sous le nom de "db8151dd" a été fourni à HIBP après avoir été découvert exposé sur un serveur Elasticsearch accessible publiquement.
En janvier 2020, l'application de rencontres basée à Barcelone MobiFriends a subi une fuite de données qui a exposé 3,5 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des genres, des dates de naissance et des empreintes de mots de passe MD5.
En décembre 2019, une vaste collection de données de la société de paris nigériane Surebet247 a été envoyée à HIBP. Aux côtés de Surebet247, des sauvegardes de bases de données des sites de paris BetAlfa, BetWay, BongoBongo et TopBet étaient également incluses.
En décembre 2019, la plateforme de jeu désormais disparue GameSprite a subi une fuite de données qui a exposé plus de 6 millions d'adresses e-mail uniques. Les données concernées comprenaient également des noms d'utilisateur, des adresses IP et des empreintes de mots de passe MD5 salées.
En décembre 2019, le site web de jeux allemand aujourd'hui disparu Go Ninja a subi une fuite de données qui a exposé 5 millions d'adresses e-mail uniques. Les données touchées comprenaient des identifiants, des adresses e-mail et IP et des empreintes MD5 salées de mots de passe.
En décembre 2019, le site de jeux aujourd'hui disparu SoarGames a subi une fuite de données qui a exposé 4,8 millions d'adresses e-mail uniques. Les données concernées comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des empreintes de mots de passe MD5 salées.
Un serveur Elasticsearch non sécurisé exploité par le cabinet équatorien Novaestrat a exposé 20,8 millions d'enregistrements couvrant la quasi-totalité de la population de l'Équateur, dont 6,7 millions d'enfants, des données financières et automobiles.
En juillet 2019, le jeu de rythme musical Flash Flash Revolution a subi une fuite de données. La fuite de 2019 a touché près de 1,9 million de membres et s'ajoute à la fuite de données de 2016 du même service.
Le pirate en série GnosticPlayers a compromis la plateforme de design australienne Canva en mai 2019, dérobant les données d'environ 137 millions d'utilisateurs, dont e-mails, noms, localisations et mots de passe hachés avec bcrypt.
En mai 2019, le site de serveurs Minecraft Minehut a subi une fuite de données. L'entreprise a indiqué qu'une sauvegarde de base de données avait été obtenue, après quoi elle a notifié tous les utilisateurs concernés. 397 000 adresses e-mail issues de l'incident ont été fournies à HIBP.
En mars 2019, le jeu de plateforme multijoueur Everybody Edits a subi une fuite de données. L'incident a exposé 871 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des adresses IP. Les données ont ensuite été diffusées en ligne sous forme d'un ensemble de fichiers.
En mars 2019, le site de jeux en ligne MindJolt a subi une fuite de données qui a exposé 28 millions d'adresses e-mail uniques. Les noms et les dates de naissance ont également été touchés, mais aucun mot de passe.
En janvier 2019, la plateforme d'organisation d'événements Peatix a subi une fuite de données. L'incident a exposé 4,2 millions d'adresses e-mail, des noms et des hachages de mots de passe salés. Les données ont été fournies à HIBP par dehashed.com.
Un dump agrégé d'identifiants de 87 Go publié sur le service cloud MEGA a exposé 772,9 millions d'adresses e-mail uniques et 21,2 millions de mots de passe uniques, assemblés à partir de milliers de fuites antérieures pour alimenter des attaques de credential stuffing à l'échelle industrielle.
Victim
Internautes du monde entier (dump agrégé multi-fuites)
Aux alentours de décembre 2018, la plateforme publicitaire en ligne BannerBit a subi une fuite de données. Contenant 213 000 adresses e-mail uniques et des mots de passe en texte clair, les données ont été fournies à HIBP par un tiers. Plusieurs tentatives ont été faites pour contacter BannerBit, mais aucune réponse n'a été reçue.
En septembre 2021, le site thaïlandais d'enseignement de l'anglais Ajarn a découvert qu'il avait été victime d'une fuite de données remontant à décembre 2018. La fuite a été signalée à HIBP par l'entreprise elle-même et comprenait 266 000 adresses e-mail, noms, genres, numéros de téléphone et autres informations personnelles.
La plateforme de questions-réponses Quora a révélé qu'un tiers non autorisé avait accédé aux données d'environ 100 millions d'utilisateurs, dont les noms, adresses e-mail, mots de passe salés et hachés, ainsi que des contacts et données démographiques importés.
En novembre 2018, le service de bac à sable WordPress permettant de créer des sites web temporaires WP Sandbox a découvert que son service était utilisé pour héberger un site de phishing tentant de collecter des comptes Microsoft OneDrive.
En octobre 2018, le site dédié à la publication de photos dénudées et d'autres contenus érotiques d'épouses Wife Lovers a subi une fuite de données. La base de données sous-jacente alimentait au total 8 sites web pour adultes différents et contenait plus de 1,2 million d'adresses e-mail uniques.
Une variante du rançongiciel WannaCry s'est propagée à travers les équipements de fabrication Windows 7 non corrigés de TSMC, le plus grand fondeur de puces au monde, paralysant la production des usines de Hsinchu, Taichung et Tainan et causant environ 170 millions de dollars de pertes.
En juillet 2018, le personnel du site de jeux Lanwar a découvert une fuite de données qui, selon eux, remonte à un moment au cours des mois précédents. Les données contenaient 45 k noms, adresses e-mail, noms d'utilisateur et mots de passe en clair.
La société de marketing de données Exactis a laissé une base de données de près de 340 millions d'enregistrements sur des particuliers et des entreprises exposée sur un serveur accessible publiquement, sans pare-feu. Chaque enregistrement contenait jusqu'à 400 champs de données de profilage personnel, des coordonnées à l'âge des enfants, en passant par la religion et les habitudes.
En juin 2018, le jeu de rôle en ligne massivement multijoueur (MMORPG) Mortal Online a subi une fuite de données. Un fichier contenant 570 000 adresses e-mail et mots de passe craqués a ensuite été distribué en ligne.
En mai 2018, le site web du service de distribution de billets Ticketfly a été défacé par un attaquant et a ensuite été mis hors ligne. L'attaquant aurait demandé une rançon pour partager les détails de la vulnérabilité avec Ticketfly mais n'a pas reçu de réponse et a par la suite publié les données de la fuite…
Une violation de 2015 de la plateforme Zing du géant technologique vietnamien VNG a exposé environ 163 millions de comptes Zing ID, dont les identifiants, mots de passe, e-mails et numéros de téléphone se sont ensuite retrouvés en vente sur RaidForums.
En avril 2018, le site de divertissement en ligne Funny Games a subi une fuite de données qui a divulgué 764 000 enregistrements, dont des noms d'utilisateur, des adresses e-mail et IP et des empreintes de mots de passe MD5 salées.
Des attaquants ont accédé aux systèmes de l'application de VTC Careem, basée à Dubaï, et volé les noms, courriels, numéros de téléphone et historiques de trajets d'environ 14 millions de passagers et 558 000 chauffeurs au Moyen-Orient, en Afrique du Nord et en Asie du Sud.
Le cabinet de conseil politique Cambridge Analytica a obtenu de manière abusive les données personnelles de jusqu'à 87 millions d'utilisateurs Facebook via une application de quiz de personnalité, exploitant l'API tierce permissive de Facebook pour collecter les réseaux d'amis et bâtir des profils de ciblage électoral. Le scandale a entraîné une amende record de 5 milliards de dollars de la FTC.
En février 2018, le site de photographie EyeEm a subi une fuite de données. La fuite a été identifiée au sein d'une collection d'autres incidents majeurs et a exposé près de 20 millions d'adresses e-mail uniques, des noms, des noms d'utilisateur, des biographies et des empreintes de mots de passe.
En février 2018, des données appartenant au site web automobile polonais autocentrum.pl ont été trouvées en ligne. Les données contenaient 144 000 adresses e-mail et mots de passe en texte clair.
En février 2018, l'application MyFitnessPal d'Under Armour a été compromise, exposant environ 144 millions de comptes avec noms d'utilisateur, e-mails et mots de passe hachés via un mélange de SHA-1 et bcrypt ; les données ont ensuite été mises en vente par GnosticPlayers.
La plateforme d'échange de cryptomonnaies Coincheck, basée à Tokyo, a perdu 523 millions de jetons NEM (~530 M$ à l'époque) depuis un portefeuille chaud dépourvu de protection multi-signature. Le plus grand vol sur une plateforme d'échange de cryptomonnaies en une seule fois à l'époque — attribué par la suite au groupe Lazarus de Corée du Nord.
En décembre 2017, le site de paroles de chansons connu sous le nom de Lyrics Mania a subi une fuite de données. Les données compromises comprenaient 109 000 noms d'utilisateur, adresses e-mail et mots de passe en clair. De nombreuses tentatives ont été faites pour contacter Lyrics Mania au sujet de l'incident, mais aucune réponse n'a été reçue.
En décembre 2017, le site d'achat de skins Counter-Strike connu sous le nom d'Open CS:GO (Counter-Strike: Global Offensive) a subi une fuite de données (l'adresse redirige depuis vers dropgun.com).
Des attaquants ont volé les données personnelles de 57 millions de passagers et chauffeurs Uber en octobre 2016. Plutôt que de divulguer l'incident, Uber a versé aux pirates une rançon de 100 000 dollars en la déguisant en prime de bug — une dissimulation qui a entraîné un règlement de 148 millions de dollars avec les États et la condamnation pénale du responsable de la sécurité d'Uber.
En août 2017, un spambot du nom d'Onliner Spambot a été identifié par le chercheur en sécurité Benkow moʞuƎq. Le logiciel malveillant comportait un composant serveur situé à une adresse IP aux Pays-Bas, qui exposait un grand nombre de fichiers contenant des informations personnelles.
En 2016, l'entreprise de cinéma sud-africaine Ster-Kinekor présentait une faille de sécurité qui a divulgué une grande quantité de données clients via une vulnérabilité d'énumération dans l'API de son ancien site web.
Un bug de dépassement de tampon dans les serveurs périphériques de Cloudflare les amenait à divulguer des fragments de mémoire adjacente — mots de passe, cookies et messages privés d'autres clients — dans des pages web, dont certains ont été mis en cache par les moteurs de recherche. La faille est restée active pendant des mois avant d'être découverte par Project Zero de Google.
En février 2017, l'éditeur de logiciels de surveillance d'appareils mobiles Retina-X a été piraté et des données clients ont été téléchargées avant d'être effacées de ses serveurs.
En février 2017, des centaines de milliers de dossiers du festival de musique Coachella ont été découverts en vente en ligne. Prétendument issues d'une combinaison du site principal de Coachella et de leur forum de discussion basé sur vBulletin, les données comprenaient près de 600 000 noms d'utilisateur, adresses IP et e-mail et…
En janvier 2019, le jeu MMO et RPG aujourd'hui disparu SwordFantasy a subi une fuite de données qui a exposé 2,7 millions d'adresses e-mail uniques. Les autres données touchées comprenaient le nom d'utilisateur, l'adresse IP et des condensats MD5 salés de mots de passe.
En décembre 2016, un attaquant a compromis le site web de PayAsUGym, exposant les données personnelles de plus de 400 000 clients. Les données ont par conséquent été divulguées publiquement et largement diffusées via Twitter.
Fin 2016, le site de jeu de mode Fashion Fantasy Game a subi une fuite de données. L'incident a exposé 2,3 millions de comptes utilisateurs uniques et les empreintes de mots de passe MD5 correspondantes sans sel. Les données ont été transmises à Have I Been Pwned grâce à rip@creep.im.
Vers décembre 2016, le service en ligne de serveurs privés World of Warcraft Warmane a subi une fuite de données. L'incident a exposé plus de 1,1 million de comptes comprenant des noms d'utilisateur, des adresses e-mail, des dates de naissance et des hachages MD5 salés des mots de passe.
Une faille d'inclusion de fichier local a permis aux attaquants de dérober 412 millions de comptes sur les sites pour adultes et de rencontres de FriendFinder Networks, dont AdultFriendFinder. La plupart des mots de passe étaient stockés en clair ou en SHA-1 non salé, et les comptes « supprimés » ne l'avaient jamais réellement été.
Une attaque DDoS massive du botnet Mirai contre le fournisseur de DNS managé Dyn a mis hors ligne Twitter, Netflix, Spotify, GitHub, Reddit et des dizaines d'autres grands sites aux États-Unis et en Europe, démontrant comment un botnet d'objets connectés compromis pouvait perturber de larges pans d'Internet.
En octobre 2016, des données prétendument obtenues auprès du site web chinois GFAN ont fait surface et contenaient 22,5 millions de comptes. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été signalée comme « non vérifiée ».
En octobre 2016, la plateforme française de partage de vidéos Dailymotion a été victime d'une fuite exposant environ 85,2 millions de comptes utilisateurs, avec adresses email et noms d'utilisateur, et des hachages bcrypt de mots de passe pour près de 18 millions d'entre eux.
En septembre 2016, des données prétendument obtenues du site de jeux chinois connu sous le nom d'Aipai.com et contenant 6,5 M de comptes ont été divulguées en ligne. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».
Deux fuites distinctes — révélées en 2016 mais remontant à 2013 et 2014 — ont exposé l'intégralité des comptes Yahoo existants. Trois milliards de comptes : la plus grande exposition de données d'une seule entreprise de l'histoire.
En septembre 2016, des données auraient été obtenues depuis le site chinois connu sous le nom de uuu9.com et contenaient 7,5 millions de comptes. Bien qu'il existe des preuves que les données sont authentiques, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme « non vérifiée ».
En août 2016, le site de recrutement technologique GeekedIn a laissé une base de données MongoDB exposée et plus de 8 millions d'enregistrements ont été extraits par un tiers inconnu. Les données compromises avaient été initialement récupérées sur GitHub en violation de ses conditions d'utilisation et contenaient des informations exposées dans des profils publics,…
En août 2016, l'application mobile permettant de « tout comparer » connue sous le nom de Wishbone a subi une fuite de données. Les données contenaient 9,4 millions d'enregistrements avec 2,2 millions d'adresses e-mail uniques et constituaient prétendument un sous-ensemble de l'ensemble de données complet.
En 2016, le site dédié à aider les internautes à pirater des comptes de messagerie et de jeux en ligne, connu sous le nom d'Abusewith.us, a subi plusieurs fuites de données. Le site aurait eu un administrateur en commun avec le tristement célèbre site LeakedSource, tous deux ayant depuis été fermés.
En juillet 2016, le site aujourd'hui disparu Kaneva, le service permettant de « construire et explorer des mondes virtuels », a subi une fuite de données qui a exposé 3,9 millions d'enregistrements utilisateurs. Les données comprenaient des adresses e-mail, des noms d'utilisateur, des dates de naissance et des empreintes de mots de passe MD5 salées.
En juin 2016, le site de rencontres Muslim Match a vu 150 000 adresses e-mail exposées. Les données comprenaient des discussions et des messages privés entre personnes en quête de relations ainsi que de nombreux autres attributs personnels, dont des mots de passe hachés en MD5.
En juin 2016, le studio de développement de jeux Facepunch a subi une fuite de données qui a exposé 343 000 utilisateurs. Les données compromises comprenaient des noms d'utilisateur, des adresses e-mail et IP, des dates de naissance et des empreintes de mots de passe MD5 salées. Facepunch a indiqué avoir eu connaissance de l'incident et en avoir averti les personnes concernées à l'époque.
En juin 2016, le jeu multijoueur en ligne Evony a été piraté et plus de 29 millions de comptes uniques ont été exposés. L'attaque a entraîné l'exposition de noms d'utilisateur, d'adresses e-mail et IP et d'empreintes MD5 de mots de passe (sans sel).
Les identifiants d'environ 360 millions de comptes MySpace antérieurs à 2013 ont été mis en vente sur le dark web en 2016. Les mots de passe étaient stockés sous forme de hachages SHA-1 non salés, rendant trivialement cassable l'une des plus grandes fuites d'identifiants jamais divulguées.
En mai 2016, le site de jeux en ligne Army Force Online a subi une fuite de données qui a exposé 1,5 million de comptes. Les données compromises se trouvaient régulièrement échangées en ligne et comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe MD5.
En mai 2016, le site Fur Affinity destiné aux personnes s'intéressant aux personnages animaux anthropomorphes (également connus sous le nom de « furries ») a été piraté. L'attaque a exposé 1,2 million d'adresses e-mail (de nombreux comptes avaient une adresse « première » et « dernière » différente associée) et des mots de passe hachés.
Vers avril 2016, le site web de jeux Guns and Robots a subi une fuite de données entraînant l'exposition de 143 000 enregistrements uniques. Les données contenaient des adresses e-mail et IP, des identifiants et des empreintes SHA-1 de mots de passe.
En février 2016, la société de jeux russe Nival a été la cible d'une attaque qui a ensuite été détaillée sur Reddit. Protestant prétendument contre « la politique étrangère de la Russie à l'égard de l'Ukraine », Nival faisait partie de plusieurs sites russes touchés par la fuite et a vu plus de 1,5 million de comptes compromis, comprenant…
Vers janvier 2016, le site Minecraft World Map, conçu pour partager des cartes créées pour le jeu, a été piraté et plus de 71 000 comptes d'utilisateurs ont été exposés. Les données comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe salés et hachés.
Vers début 2016, le site de jeu Xpgamesaves (XPG) a subi une fuite de données entraînant l'exposition de 890 000 enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés des mots de passe.
Fin 2015, le site technologique et social DaniWeb a subi une fuite de données. L'attaque a entraîné la divulgation de 1,1 million de comptes, notamment des adresses e-mail et IP, accompagnées de hachages MD5 salés des mots de passe.
Une attaque par injection SQL contre le service Learning Lodge du fabricant de jouets hongkongais VTech a exposé les données personnelles de 6,4 millions d'enfants et près de 5 millions de comptes parents, devenant la première fuite majeure ciblant des données de mineurs.
En novembre 2015, le site de rencontres Beautiful People a été piraté et plus de 1,1 million de comptes ont été divulgués. Les données s'échangeaient dans des cercles clandestins et comprenaient une énorme quantité d'informations personnelles liées aux rencontres.
Fin 2015, le site de correspondants en ligne InterPals a vu son site web piraté et 3,4 millions de comptes exposés. Les données compromises comprenaient des adresses e-mail, des localisations géographiques, des dates de naissance et des empreintes de mots de passe salées.
En novembre 2015, le salon de discussion en ligne connu sous le nom de « xat » a été piraté et 6 millions de comptes d'utilisateurs ont été exposés. Utilisées comme moteur de discussion sur des sites web, les données divulguées comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe hachés.
En novembre 2015, le site de jeux Abandonia, dédié aux jeux DOS classiques, a subi une fuite de données entraînant l'exposition de 776 000 dossiers d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés des mots de passe.
Un groupe se nommant l'Impact Team a piraté le site de rencontres adultères Ashley Madison, puis a divulgué les données de compte d'environ 32 millions d'utilisateurs — noms, e-mails, préférences sexuelles et historiques de paiement — après que la société mère Avid Life Media a refusé de fermer le site.
Vers la mi-2015, l'application de suivi musical Soundwave a subi une fuite de données. La fuite provenait d'un incident au cours duquel « des données de production avaient été utilisées pour remplir la base de données de test », qui a ensuite été exposée par inadvertance dans une base MongoDB.
À un moment en 2015, le site suédois de magie SvenskaMagic a subi une fuite de données qui a exposé plus de 30 000 enregistrements. Les données compromises comprenaient des noms d'utilisateur, des adresses e-mail et des empreintes de mots de passe MD5. Les données ont été soumises elles-mêmes à HIBP par SvenskaMagic.
En mai 2015, Спрашивай.ру (le site russe d'avis anonymes) aurait vu 6,7 millions de données d'utilisateurs exposées par un pirate connu sous le nom de « w0rm ».
En novembre 2014, le jeu en ligne Warframe a été piraté et 819 000 adresses e-mail uniques ont été exposées. Prétendument due à une faille d'injection SQL dans Drupal, l'attaque a exposé des noms d'utilisateur, des adresses e-mail et des données dans une colonne « pass » correspondant au modèle de hachage de mot de passe SHA12 salé utilisé par Drupal 7.
En septembre 2014, le jeu en ligne Bin Weevils a subi une fuite de données. Bien qu'il ait initialement été déclaré que seuls les noms d'utilisateur et les mots de passe avaient été exposés, un article ultérieur sur DataBreaches.net a indiqué qu'un ensemble plus large d'attributs personnels avait été touché (des commentaires y suggèrent également que les données…
Vers septembre 2014, le site web de bots RuneScape Powerbot a subi une fuite de données entraînant l'exposition de plus d'un demi-million d'enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés de mots de passe.
En août 2014, le site de régime et de nutrition diet.com a subi une fuite de données entraînant l'exposition de 1,4 million d'enregistrements d'utilisateurs uniques remontant jusqu'à 2004.
En août 2014, le site web de RPG Pokémon Pokémon Creed a été piraté à la suite d'un différend avec le site rival, Pokémon Dusk. Dans une publication sur Facebook, « Cruz Dusk » a annoncé le piratage puis a divulgué la base de données MySQL extraite sur pkmndusk.in.
En juin 2014, le site d'échange de mangas Mangatraders.com a vu les noms d'utilisateur et les mots de passe de plus de 900 000 utilisateurs divulgués sur Internet (environ 855 000 des adresses e-mail étaient uniques). Les mots de passe étaient faiblement hachés avec une seule itération de MD5, ce qui les rendait vulnérables et faciles à craquer.
Les attaquants ont utilisé un petit nombre d'identifiants d'employés compromis pour accéder au réseau d'entreprise d'eBay et exfiltrer une base de données couvrant les 145 millions d'utilisateurs — noms, mots de passe chiffrés, adresses e-mail et postales, numéros de téléphone et dates de naissance.
En février 2014, la plateforme de financement participatif Kickstarter a annoncé avoir subi une fuite de données. La fuite contenait près de 5,2 millions d'adresses e-mail uniques, de noms d'utilisateur et de hachages SHA1 salés des mots de passe.
En 2014, un fichier prétendument constitué de données piratées de Coupon Mom a été créé et comprenait 11 millions d'adresses e-mail et de mots de passe en texte clair. Après enquête approfondie, le fichier s'est également avéré contenir des données indiquant qu'elles provenaient d'Armor Games.
En janvier 2014, le site web de la World Poker Tour (WPT) Amateur Poker League a été piraté par l'utilisateur Twitter @smitt3nz. L'attaque a entraîné la divulgation publique de 175 000 comptes, dont 148 000 adresses e-mail. Le mot de passe en clair de chaque compte figurait également dans la fuite.
En novembre 2013, les créateurs du logiciel de diffusion et d'enregistrement en direct de jeux XSplit ont été compromis lors d'une attaque en ligne. La fuite de données a divulgué près de 3 millions de noms, d'adresses e-mail, de noms d'utilisateur et de mots de passe hachés.
Des attaquants ont dérobé environ 153 millions d'enregistrements de comptes Adobe — identifiants, e-mails, mots de passe faiblement chiffrés et indices en clair — ainsi que le code source de plusieurs produits Adobe, dans l'une des plus grandes fuites jamais subies par un éditeur de logiciels.
Un jeu de données attribué au réseau social et de rencontres Badoo a exposé environ 112 millions d'adresses e-mail uniques ainsi que des noms, des dates de naissance et des hachages de mots de passe MD5 ; les données ont circulé entre traders en 2016 et restent formellement non vérifiées.
Une intrusion survenue en 2013 sur la plateforme de blogs Tumblr a exposé environ 65 millions d'adresses e-mail et de hachages de mots de passe SHA-1 salés ; l'ampleur n'a été révélée qu'en 2016, lorsque les données ont été mises en vente sur des marchés du dark web.
Début 2013, le jeu multijoueur de fantasy en ligne Heroes of Gaia a subi une fuite de données. Les enregistrements les plus récents de l'ensemble de données indiquent une date de fuite au 4 janvier 2013 et comprennent des identifiants, des adresses IP et e-mail mais aucun mot de passe.
En décembre 2012, le jeu d'arène de bataille en ligne multijoueur connu sous le nom de Heroes of Newerth a été piraté et plus de 8 millions de comptes ont été extraits du système. Les données compromises comprenaient des identifiants, des adresses e-mail et des mots de passe.
Au milieu de l'année 2012, le jeu de stratégie en temps réel War Inc. a subi une fuite de données. L'attaque a entraîné l'exposition de plus d'un million de comptes comprenant des noms d'utilisateur, des adresses e-mail et des hachages MD5 salés des mots de passe.
Un mot de passe d'employé réutilisé — récupéré lors de la fuite LinkedIn de 2012 — a permis à un attaquant de dérober une base d'environ 68 millions d'identifiants d'utilisateurs Dropbox, mise en vente sur le dark web quatre ans plus tard.
Une intrusion de 2012 chez LinkedIn a exposé des mots de passe utilisateurs stockés sous forme de hachages SHA-1 non salés. D'abord annoncée à 6,5 millions d'identifiants, l'ampleur réelle de 117 millions de comptes n'est apparue qu'en 2016, lorsque les données ont été mises en vente sur le dark web.
La plateforme musicale Last.fm a été piratée en mars 2012, exposant plus de 43 millions de comptes avec des noms d'utilisateur, des adresses e-mail et des hachages de mots de passe MD5 non salés ; plus de 96 % des mots de passe ont été cassés en quelques heures lorsque les données ont fait surface en 2016.
En février 2012, le site pour adultes YouPorn a vu plus de 1,3 million de comptes utilisateur exposés lors d'une fuite de données. Les données rendues publiques comprenaient à la fois des adresses e-mail et des mots de passe en clair.
En 2011, le China Software Developer Network (CSDN) a subi une fuite de données qui a exposé plus de 6 millions de dossiers d'utilisateurs. Les données comprenaient des adresses e-mail ainsi que des noms d'utilisateur et des mots de passe en texte clair.
Fin 2011, des données auraient été obtenues auprès du site chinois connu sous le nom de Dodonew.com et contenaient 8,7 millions de comptes. Bien qu'il existe des preuves que les données sont légitimes, en raison de la difficulté à vérifier catégoriquement cette fuite chinoise, elle a été signalée comme « non vérifiée ».
Un intrus a pris le contrôle total de l'autorité de certification néerlandaise DigiNotar, émettant plus de 500 certificats SSL frauduleux — dont un certificat générique *.google.com utilisé pour espionner quelque 300 000 utilisateurs iraniens de Gmail — et provoquant la faillite de l'entreprise.
Des pirates exploitant un canal de mise à jour logicielle empoisonné ont volé les données personnelles d'environ 35 millions d'utilisateurs de Nate et Cyworld — noms, numéros d'enregistrement de résident, numéros de téléphone et mots de passe chiffrés — dans ce qui était alors la plus grande violation de données de Corée du Sud.
Vers la mi-2011, des données auraient été obtenues du site d'ingénierie chinois connu sous le nom de Civil Online et contenaient 7,8 millions de comptes. Bien qu'il existe des preuves que les données sont légitimes, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme "non vérifiée".
Des intrus ont pénétré le PlayStation Network et Qriocity de Sony, compromettant les données personnelles d'environ 77 millions de comptes et provoquant une panne mondiale de 23 jours — l'une des plus grandes violations de données de consommateurs de son temps.
Victim
Sony Network Entertainment / Sony Computer Entertainment
Un courriel de harponnage porteur d'une faille zero-day Flash a donné aux attaquants un point d'entrée chez RSA, depuis lequel ils ont exfiltré des données liées au système d'authentification à deux facteurs SecurID — données ensuite utilisées dans une tentative d'intrusion contre Lockheed Martin.
Vers 2011, le site de jeux chinois connu sous le nom de 7k7k aurait subi une fuite de données ayant touché 9,1 millions d'abonnés. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».
Vers 2011, des données auraient été obtenues à partir du site de jeux chinois connu sous le nom de Duowan.com et contenaient 2,6 millions de comptes. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme « non vérifiée ».
Vers 2010, le site désormais disparu DivX SubTitles a subi une fuite de données qui a exposé 783 000 comptes d'utilisateurs, notamment des adresses e-mail, des noms d'utilisateur et des mots de passe en clair.
À un moment de 2009, la plateforme de recrutement Elance a subi une fuite de données qui a affecté 1,3 million de comptes. Apparues en ligne 8 ans plus tard, les données contenaient des noms d'utilisateur, des adresses e-mail, des numéros de téléphone et des empreintes SHA1 de mots de passe, parmi d'autres données personnelles.
En avril 2007, le site de jeux d'argent en ligne Foxy Bingo a été piraté et 252 000 comptes ont été obtenus par les pirates. Les enregistrements compromis ont ensuite été vendus et échangés et comprenaient des données personnelles telles que des mots de passe en clair, des dates de naissance et des adresses postales.