Skip to content

Incidents dans le secteur :

Technologie

Exploitation de vulnérabilitéEn cours

Faille SSRF de Cisco Unified CM exploitée pour déposer des webshells (CVE-2026-20230)

Des attaquants ont commencé à exploiter activement une faille critique de falsification de requête côté serveur, non authentifiée, dans Cisco Unified Communications Manager, suivie sous CVE-2026-20230, en se servant du service WebDialer pour écrire des fichiers et déposer des webshells JSP sur des serveurs de téléphonie d'entreprise.

Victim
Cisco Unified Communications Manager
Chaîne d’approvisionnementContenu

La compromission de la chaîne d'approvisionnement de Klue expose les données Salesforce de ses clients

Un identifiant d'API dormant a permis à des attaquants de compromettre la plateforme d'intelligence concurrentielle Klue et de récolter les jetons OAuth des applications connectées de ses clients, exfiltrant des enregistrements Salesforce d'entreprises comme Huntress et Recorded Future lors d'une attaque de la chaîne d'approvisionnement ensuite attribuée au groupe d'extorsion Icarus.

Victim
Klue (et ses clients dont Huntress et Recorded Future)
Fuite de donnéesEn cours

Vol de données d'enquêtes internes de Nintendo via la plateforme tierce TinyPulse

Nintendo of America a confirmé que des attaquants avaient dérobé des données d'enquêtes internes auprès des employés sur TinyPulse, une plateforme RH tierce qu'elle utilisait, après que le groupe SHADOWBYT3$ a prétendu avoir exfiltré environ 859 Mo de données et réclamé une rançon de 2 millions de dollars — tout en soulignant que les systèmes et les données clients de Nintendo n'avaient pas été touchés.

Victim
Nintendo of America
Fuite de donnéesEn cours

Eastman Kodak confirme une fuite de données revendiquée par ShinyHunters

L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.

Victim
Eastman Kodak
Records
2.2M
Bourrage d’identifiantsEn cours

FortiBleed : un jeu de données fuite les identifiants VPN de ~74 000 pare-feu Fortinet

Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.

Victim
Organizations running Fortinet FortiGate firewalls worldwide
Chaîne d’approvisionnementContenu

Détournement du scope npm Mastra : 144 paquets du framework d'IA piégés (easy-day-js)

Un compte de contributeur détourné a servi à republier 144 paquets du populaire scope npm @mastra (agents d'IA) avec une dépendance malveillante typosquattée, easy-day-js, qui téléchargeait un cheval de Troie d'accès à distance multiplateforme et un voleur de cryptomonnaies sur toute machine de développeur ou système de build qui les installait.

Victim
Mastra (scope npm @mastra)
Chaîne d’approvisionnementContenu

Les extensions WordPress OptinMonster, TrustPulse et PushEngage piégées par une attaque de chaîne d'approvisionnement via le CDN d'Awesome Motive

Des attaquants ont dérobé une clé d'API CDN à Awesome Motive et altéré le JavaScript servi aux extensions WordPress OptinMonster, TrustPulse et PushEngage, créant en silence des comptes administrateurs malveillants et installant des portes dérobées sur les sites dont les administrateurs connectés chargeaient le code piégé.

Victim
Awesome Motive (OptinMonster, TrustPulse, PushEngage)
Logiciel malveillantContenu

152 extensions Chrome « fonds d'écran animés » surprises à collecter des données et à falsifier le trafic de recherche Google

L'équipe de recherche sur les menaces de Socket a mis au jour une famille coordonnée de 152 extensions Chrome « fonds d'écran animés » pour nouvel onglet, réparties sur 38 comptes éditeurs et trois marques, qui enregistraient secrètement la télémétrie des utilisateurs et déguisaient les visites générées par les extensions en faux trafic de recherche organique Google, alors qu'elles déclaraient ne collecter aucune donnée.

Victim
Google Chrome Web Store users
Chaîne d’approvisionnementEn cours

L'attaque sur la chaîne d'approvisionnement « Atomic Arch » détourne plus de 400 paquets AUR d'Arch Linux pour déployer un voleur d'identifiants et un rootkit eBPF

Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.

Victim
Arch User Repository (AUR)
Exploitation de vulnérabilitéEn cours

Faille de gravité maximale dans Ivanti Sentry exploitée pour exécuter du code en root (CVE-2026-10520)

Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.

Victim
Ivanti Sentry
Faille zero-dayEn cours

La faille zero-day « RoguePlanet » de Microsoft Defender octroie les privilèges SYSTEM (CVE-2026-47281)

Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.

Victim
Microsoft Defender
Exploitation de vulnérabilitéContenu

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victim
ServiceNow
Chaîne d’approvisionnementContenu

Le ver Miasma frappe 73 dépôts GitHub de Microsoft lors d'une attaque de la chaîne d'approvisionnement (2026)

Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.

Victim
Microsoft (GitHub repositories)
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)
Fuite de donnéesEn cours

Fuite chez Once for all (via Actradis)

Le 11 mai 2026, Once For All a signalé un accès non autorisé à sa plateforme de conformité B2B Actradis, exposant des données de contact professionnelles (noms, e-mails pro, téléphones et coordonnées) ; une base diffusée depuis début mai comptait environ 305 000 enregistrements.

Victim
Once for all
Fuite de donnéesRançon payée

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim
Instructure (Canvas LMS)
Loss
$10.0M
Records
275.0M
Fuite de donnéesRésolu

Fuite de données Reborn Gaming (2026)

En avril 2026, la communauté de jeu Reborn Gaming a subi une fuite de données due à une vulnérabilité dans cPanel et WebHost Manager (WHM). La fuite a exposé 126 adresses e-mail uniques ainsi que des adresses IP et des identifiants Steam. Reborn Gaming a elle-même soumis les données à Have I Been Pwned.

Victim
Reborn Gaming
Records
126
Fuite de donnéesRésolu

Fuite de données My Lovely AI (2026)

En avril 2026, la plateforme de petite amie IA pour adultes My Lovely AI a subi une fuite de données qui a exposé plus de 100 000 utilisateurs. Les données comprenaient des invites créées par les utilisateurs et des liens vers les images générées par IA correspondantes, ainsi qu'un petit nombre de noms d'utilisateur Discord et X.

Victim
My Lovely AI
Records
106.3K
Fuite de donnéesContenu

Fuite chez Cloud Imperium Games

Cloud Imperium Games, studio derrière Star Citizen et Squadron 42, a révélé en mars 2026 qu'une attaque de janvier visant ses systèmes de sauvegarde avait donné un accès en lecture seule aux données des joueurs : noms, pseudos, dates de naissance et coordonnées.

Victim
Cloud Imperium Games
Fuite de donnéesRésolu

Fuite de données KomikoAI (2026)

En février, la plateforme de génération de bandes dessinées par IA KomikoAI a subi une fuite de données. L'incident a exposé 1 M d'adresses e-mail uniques ainsi que des noms, des publications d'utilisateurs et les requêtes IA utilisées pour générer du contenu. Les données exposées permettent d'associer des requêtes IA individuelles à des adresses e-mail spécifiques.

Victim
KomikoAI
Records
1.1M
Fuite de donnéesRésolu

Fuite de données Lovora (2026)

En février 2026, l'application de couples et de relations Lovora aurait subi une fuite de données qui a exposé 496 000 adresses e-mail uniques. Les données comprenaient également les noms d'affichage et les photos de profil des utilisateurs, ainsi que d'autres informations personnelles collectées via l'utilisation de l'application.

Victim
Lovora
Records
495.6K
Chaîne d’approvisionnementEn cours

Fuite revendiquée chez MaSalleDeSport - volume non précisé

Le 22 février 2026, un hacker se faisant appeler « 84City » a affirmé avoir compromis MaSalleDeSport, prestataire CRM et de gestion de plus de 2 000 salles de sport françaises (Basic-Fit, Fitness Park, ON AIR Fitness, L'Orange Bleue), exposant noms, téléphones, SMS et adresses de plus d'1 million de personnes potentielles.

Victim
MaSalleDeSport (Basic-Fit, Fitness Park..)
Fuite de donnéesInconnu

Fuite chez Espace CE

En février 2026, les données personnelles de milliers de salariés ont été retrouvées en circulation sur le dark web après une fuite touchant Espace CE (Espace CSE), plateforme française de gestion des avantages pour les comités sociaux et économiques ; les champs exposés comprenaient noms, coordonnées, dates de naissance et mots de passe hachés.

Victim
Espace CE
Fuite de donnéesRésolu

Fuite de données Quitbro (2026)

En février 2026, l'application contre l'addiction au porno Quitbro aurait subi une fuite de données qui a exposé 23 000 adresses e-mail uniques. Les données comprenaient également les années de naissance des utilisateurs, leurs réponses aux questions de l'application et l'heure de leur dernière rechute enregistrée.

Victim
Quitbro
Records
22.9K
Fuite de donnéesInconnu

Fuite revendiquée chez Kimsufi (OVHcloud) touchant des bases de données

Un acteur malveillant a affirmé avoir dérobé des données liées à Kimsufi, la marque d'hébergement économique du fournisseur cloud français OVHcloud, évoquant l'exposition d'environ 1,6 million de clients et de données de 5,9 millions de sites hébergés ; OVHcloud a démenti, affirmant que l'échantillon ne provenait pas de ses systèmes.

Victim
Kimsufi (OVHcloud)
Fuite de donnéesContenu

Fuite chez Sumsub

En février 2026, le prestataire de vérification d'identité (KYC) Sumsub a révélé une intrusion datant de 2024 — restée invisible pendant ~18 mois — au cours de laquelle un attaquant a atteint un environnement de support client et exposé les noms, adresses email et numéros de téléphone de clients de plateformes crypto et fintech qu'il dessert.

Victim
Sumsub
Fuite de donnéesRésolu

Fuite de données Toy Battles (2026)

En février 2026, la communauté de jeu en ligne Toy Battles a subi une fuite de données. L'incident a exposé 1 000 adresses e-mail uniques accompagnées de noms d'utilisateur, d'adresses IP et de journaux de discussion. À la suite de la fuite, Toy Battles a elle-même soumis les données à Have I Been Pwned.

Victim
Toy Battles
Records
1.0K
Ingénierie socialeContenu

Fuite chez Match Group (Hinge, Match, OKCupid)

Le 29 janvier 2026, Match Group — maison mère de Hinge, Match et OKCupid — a révélé une fuite après que le groupe ShinyHunters a détourné, par hameçonnage vocal, le compte Okta SSO d'un employé ; les données exposées incluent noms, dates de naissance, numéros de téléphone et adresses IP.

Victim
Match Group (Hinge, Match, OKCupid)
Fuite de donnéesEn cours

Fuite chez Instagram

En janvier 2026, un jeu de données d’environ 17,5 millions de comptes Instagram — noms d’utilisateurs, noms complets, adresses e-mail, numéros de téléphone et données de localisation partielles — a été mis en vente sur un forum du dark web, prétendument récolté via une fuite d’API de 2024.

Victim
Instagram
Records
17.5M
Fuite de donnéesInconnu

Fuite revendiquée chez ACRV.FR (Agence web)

Le 10 janvier 2026, un acteur malveillant a revendiqué une fuite de données chez l'agence web française ACRV.FR, affirmant avoir exfiltré des archives et des bases liées à plusieurs sites clients qu'elle héberge ou maintient ; la revendication n'est pas vérifiée et l'ampleur reste inconnue.

Victim
ACRV.FR (Agence web)
Fuite de donnéesContenu

Fuite de données chez DCE Conseil et partenaires (prisons, armées, luxe)

Le cabinet d'ingénierie français DCE Conseil a subi une fuite après la compromission du compte cloud d'un salarié au moyen d'identifiants volés, exposant environ 844 Go de fichiers techniques sensibles — dont des plans de prisons, d'une base militaire et de clients du luxe et de grands comptes — ensuite mis en vente sur BreachForums.

Victim
DCE Conseil (Partenaires divers : Prisons, Armées, Luxe etc)
Fuite de donnéesInconnu

Fuite chez Europages

Le 28 décembre 2025, une base de 205 403 prospects B2B de l'annuaire d'entreprises européen Europages a été signalée comme ayant fuité, exposant des coordonnées et données d'immatriculation (nom, poste, entreprise, adresses postale et email, téléphone, SIRET et numéro de TVA).

Victim
Europages
Records
205.4K
Fuite de donnéesContenu

Fuite chez HelloWork

Fin décembre 2025, la plateforme de recrutement française HelloWork a révélé que les données d'environ 2,8 millions de candidats — noms, e-mails et éléments de profil professionnel — avaient été aspirées depuis sa CVthèque via un compte recruteur utilisé frauduleusement, puis mises en vente en ligne.

Victim
HelloWork
Records
2.8M
Fuite de donnéesContenu

Fuite chez SoundCloud

En décembre 2025, la plateforme de streaming musical SoundCloud a révélé une fuite au cours de laquelle un attaquant a exploité un système interne pour associer environ 29,8 millions d'adresses e-mail privées aux données de profils publics — soit environ 20% de ses utilisateurs ; aucun mot de passe ni donnée de paiement n'a été dérobé.

Victim
SoundCloud
Records
29.8M
Fuite de donnéesInconnu

Fuite chez Oui Heberg

Le 10 novembre 2025, l'hébergeur web et VPS français OuiHeberg a été signalé comme ayant laissé fuiter des coordonnées de clients — noms, adresses e-mail, numéros de téléphone et adresses postales — à la suite d'un incident de sécurité touchant son infrastructure.

Victim
Oui Heberg
Fuite de donnéesInconnu

Fuite chez MYM

En novembre 2025, une base d'environ 5 millions d'enregistrements de la plateforme française d'abonnement de contenus pour adultes MYM a été diffusée sur un forum cybercriminel, exposant noms, emails, adresses postales, téléphones, adresses IP, dates de naissance et mots de passe hashés en MD5 ; les données remontent à une compromission de 2021.

Victim
MYM
Records
5.0M
Chaîne d’approvisionnementContenu

Fuite chez Discord

Le 4 octobre 2025, Discord a révélé une fuite chez un prestataire tiers de support client, exposant des données de tickets de support et environ 70 000 photos de pièces d’identité (envoyées pour des recours de vérification d’âge), ainsi que noms, e-mails, adresses IP et informations de paiement partielles.

Victim
Discord
Records
70.0K
Fuite de donnéesContenu

Fuite chez Plex

Le 9 septembre 2025, l'éditeur de logiciels de streaming Plex a révélé qu'un tiers non autorisé avait accédé à l'une de ses bases de données, exposant les adresses e-mail, noms d'utilisateur, mots de passe hachés et données d'authentification, et imposant une réinitialisation générale des mots de passe.

Victim
Plex
Ingénierie socialeContenu

Fuite chez Google

En août 2025, Google a confirmé qu'une instance CRM Salesforce contenant les coordonnées de prospects professionnels de Google Ads avait été piratée par ShinyHunters (UNC6040) via une attaque par vishing, exposant environ 2,55 millions d'enregistrements (raisons sociales, e-mails et numéros de téléphone).

Victim
Google
Records
2.5M
RançongicielInconnu

Fuite chez Partner Immo

Le 13 août 2025, Partner Immo, éditeur français de logiciels en ligne de gestion locative et de copropriété, a été signalé comme cible d'un incident de type rançongiciel / fuite de données ; l'ampleur et les données exposées n'ont pas été confirmées publiquement.

Victim
Partner Immo
Fuite de donnéesRésolu

Fuite de données MaReads (2025)

En juin 2025, MaReads, le site destiné aux lecteurs et aux auteurs de fictions et de bandes dessinées en langue thaïe, a subi une fuite de données qui a exposé 74 000 enregistrements. La fuite comprenait des noms d'utilisateur, des adresses e-mail, des numéros de téléphone et des dates de naissance. MaReads est au courant de la fuite.

Victim
MaReads
Records
74.5K
Fuite de donnéesRésolu

Fuite de données Data Troll Stealer Logs (2025)

En juin 2025, les gros titres ont éclaté à propos d'une fuite de « 16 milliards de mots de passe ». En réalité, l'ensemble de données était une compilation de journaux de stealers accessibles au public, principalement réutilisés à partir de fuites plus anciennes, avec seulement une petite portion de contenu véritablement nouveau.

Victim
Data Troll Stealer Logs
Records
109.5M
Fuite de donnéesRésolu

Fuite de données ColoCrossing (2025)

En mai 2025, l'hébergeur ColoCrossing a identifié une fuite de données qui a touché les clients de son produit de serveur virtuel ColoCloud. ColoCrossing a indiqué que l'incident était limité à sa plateforme cloud/VPS et provenait d'une vulnérabilité d'authentification unique.

Victim
ColoCrossing
Records
7.2K
Fuite de donnéesRésolu

Fuite de données Synthient Stealer Log Threat Data (2025)

Au cours de l'année 2025, Synthient a agrégé des milliards d'enregistrements de « données de menace » provenant de diverses sources internet. Les données contenaient 183 millions d'adresses e-mail uniques ainsi que les sites web sur lesquels elles avaient été saisies et les mots de passe utilisés.

Victim
Synthient Stealer Log Threat Data
Records
183.0M
Exploitation de vulnérabilitéContenu

Fuite chez Oracle Cloud

Fin mars 2025, un acteur malveillant connu sous le pseudonyme « rose87168 » a affirmé avoir dérobé environ 6 millions d'enregistrements d'authentification depuis un serveur SSO/LDAP d'Oracle Cloud, touchant potentiellement plus de 140 000 locataires ; Oracle a d'abord nié toute fuite avant de confirmer une compromission en privé à ses clients.

Victim
Oracle Cloud
Records
6.0M
Fuite de donnéesRésolu

Fuite de données ALIEN TXTBASE Stealer Logs (2025)

En février 2025, 23 milliards de lignes de journaux de voleurs d'informations (stealer logs) ont été obtenues d'un canal Telegram connu sous le nom d'ALIEN TXTBASE. Les données contenaient 284 M d'adresses e-mail uniques ainsi que les sites web sur lesquels elles avaient été saisies et les mots de passe utilisés.

Victim
ALIEN TXTBASE Stealer Logs
Records
284.1M
Chaîne d’approvisionnementContenu

Fuite chez Espace-Recettes.fr Vorwerk

Début février 2025, la communauté de recettes Thermomix Espace-Recettes.fr (Rezeptwelt) de Vorwerk a été compromise via un serveur tiers, exposant noms, adresses postales, emails, numéros de téléphone, dates de naissance et préférences culinaires d'environ 3,3 millions d'utilisateurs dans plusieurs pays.

Victim
Espace-Recettes.fr Vorwerk
Fuite de donnéesRésolu

Fuite de données Stealer Logs, Jan 2025 (2025)

En janvier 2025, des journaux de logiciels voleurs (stealer logs) contenant 71 millions d'adresses e-mail ont été ajoutés à HIBP. Composée d'une adresse e-mail, d'un mot de passe et du site web sur lequel les identifiants ont été saisis, cette fuite marque le lancement d'une nouvelle fonctionnalité HIBP permettant de récupérer les sites web spécifiques sur lesquels les journaux ont été collectés.

Victim
Stealer Logs, Jan 2025
Records
71.0M
RançongicielContenu

Fuite chez Atos

Le 28 décembre 2024, le groupe de rançongiciels Space Bears a affirmé avoir compromis une base de données d'Atos ; après enquête, le géant français de l'informatique a conclu que ses propres systèmes n'avaient pas été touchés, attribuant les données concernées à une infrastructure tierce externe compromise.

Victim
Atos
RançongicielEn cours

Fuite chez Arsoé

Une attaque par rançongiciel révélée fin décembre 2024 a paralysé l'Arsoé de Soual, prestataire informatique agricole hébergeant les logiciels d'élevage de ~30 000 éleveurs dans une vingtaine de départements français ; les systèmes ont été chiffrés et une rançon exigée, sans exfiltration de données détectée.

Victim
Arsoé
Fuite de donnéesInconnu

Fuite chez JVS

Le 26 novembre 2024, un jeu de données de comptes utilisateurs lié à JVS-Mairistem — éditeur français majeur de logiciels pour les mairies et collectivités — a été signalé en fuite, exposant noms, adresses email, logins, numéros de téléphone et la collectivité associée.

Victim
JVS
Fuite de donnéesRésolu

Fuite de données Senior Dating (2024)

En 2024, le site de rencontres pour les 40 ans et plus Senior Dating a subi une fuite de données. Attribuée à une base de données Firebase exposée, la fuite incluait de nombreuses informations personnelles sur 766 000 utilisateurs du service, dont des adresses e-mail, des photos, des genres, des liens vers des comptes Facebook, des dates de naissance et des localisations précises…

Victim
Senior Dating
Records
765.5K
Fuite de donnéesRésolu

Fuite de données FlipaClip (2024)

En novembre 2024, l'application d'animation FlipaClip a subi une fuite de données qui a exposé près de 900 000 enregistrements en raison d'un serveur Firebase exposé. Les données concernées comprenaient le nom, l'adresse e-mail, le pays et la date de naissance. FlipaClip a indiqué que le problème a depuis été corrigé.

Victim
FlipaClip
Records
892.9K
Fuite de donnéesRésolu

Fuite de données SuperDraft (2024)

En octobre 2024, la plateforme de sports fantastiques SuperDraft a subi une fuite de données qui a exposé plus de 300 000 enregistrements clients. La fuite contenait 24 Go de données comprenant des adresses e-mail, des noms d'utilisateur, des achats, des latitudes et longitudes, des dates de naissance et des empreintes de mots de passe bcrypt.

Victim
SuperDraft
Records
300.2K
Fuite de donnéesRésolu

Fuite de données Muah.AI (2024)

En septembre 2024, le site web de « petite amie IA » Muah.AI a subi une fuite de données. La fuite a exposé 1,9 million d'adresses e-mail ainsi que des invites permettant de générer des images basées sur l'IA. Bon nombre de ces invites étaient de nature hautement sexuelle, beaucoup décrivant également des scénarios d'exploitation d'enfants.

Victim
Muah.AI
Records
1.9M
Chaîne d’approvisionnementContenu

Fuite chez Cybertek

Le 12 septembre 2024, le revendeur informatique français Cybertek a révélé une fuite de données clients liée à un prestataire informatique commun compromis, exposant noms, adresses e-mail et postales et numéros de téléphone ; mots de passe et données bancaires non touchés.

Victim
Cybertek
Fuite de donnéesRésolu

Fuite de numéros de sécurité sociale National Public Data

Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.

Victim
National Public Data (Jerico Pictures, Inc.)
Records
2.90B
Fuite de donnéesRésolu

Fuite de données Explore Talent (August 2024) (2024)

En août 2024, une série de vulnérabilités de sécurité a été identifiée au sein d'un conglomérat de services en ligne qui incluait le réseau de talents Explore Talent. Une API vulnérable a exposé les enregistrements personnels de 11,4 millions d'utilisateurs du service, dont 8,9 millions d'adresses e-mail uniques ont été fournies à HIBP.

Victim
Explore Talent (August 2024)
Records
8.9M
Fuite de donnéesRésolu

Fuite de données Tracki (2024)

En août 2024, une série de vulnérabilités de sécurité ont été identifiées au sein d'un conglomérat de services en ligne incluant le service de suivi GPS Tracki. Plusieurs vulnérabilités ont exposé les données personnelles de 372 000 utilisateurs du service, dont des noms et des adresses e-mail.

Victim
Tracki
Records
372.6K
Fuite de donnéesRésolu

Fuite de données Chris Leong (2024)

En août 2024, le site web de Maître Chris Leong, "un praticien de premier plan du Tit Tar en Malaisie", a subi une fuite de données. L'incident a exposé 27 000 adresses e-mail uniques ainsi que des noms, des adresses postales, des dates de naissance, des sexes, des nationalités et, dans de nombreux cas, des liens vers des profils Facebook.

Victim
Chris Leong
Records
27.1K
Fuite de donnéesRésolu

Fuite de données Stealer Logs Posted to Telegram (2024)

En juillet 2024, des journaux de logiciels voleurs (info stealer logs) contenant 26 millions d'adresses e-mail uniques ont été rassemblés à partir de canaux Telegram malveillants. Les données contenaient 22 Go de journaux composés d'adresses e-mail, de mots de passe et des sites web sur lesquels ils étaient utilisés, tous obtenus par des logiciels malveillants s'exécutant sur des machines infectées.

Victim
Stealer Logs Posted to Telegram
Records
26.1M
Fuite de donnéesRésolu

Fuite de données FNTECH (2024)

En juillet 2024, la plateforme de gestion d'événements FNTECH a subi une fuite de données qui a exposé 10 000 adresses e-mail uniques. Les données contenaient des inscrits à divers événements, dont les participants de la liste d'inscription de la Roblox Developer Conference. Les données comprenaient également des noms et des adresses IP.

Victim
FNTECH
Records
10.4K
Fuite de donnéesRésolu

Fuite de données Ladies.com (2024)

En 2024, le site de rencontres lesbiennes ladies.com a subi une fuite de données. Attribuée à une base de données Firebase exposée, la fuite comprenait de nombreuses informations personnelles sur 119 k utilisateurs du service, notamment des adresses e-mail, des photos, l'orientation sexuelle, le genre, la date de naissance ainsi que la latitude précise et…

Victim
Ladies.com
Records
118.8K
RançongicielRançon payée

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victim
CDK Global
Loss
$1.00B
RançongicielRançon payée

Rançongiciel BlackSuit contre KADOKAWA / Niconico (2024)

Un accès obtenu par hameçonnage a permis à BlackSuit (lié à la Russie) de chiffrer l'infrastructure de KADOKAWA et la plateforme de partage vidéo Niconico, mettant les services hors ligne pendant deux mois. KADOKAWA a versé environ 2,9 M$ en cryptomonnaies — et BlackSuit a tout de même divulgué les 1,5 To dérobés.

Victim
KADOKAWA Corporation
Loss
$2.9M
Records
254.2K
Bourrage d’identifiantsContenu

Campagne de credential-stuffing contre les comptes clients Snowflake (UNC5537, 2024)

Un cluster malveillant suivi sous le nom d'UNC5537 / ShinyHunters a utilisé des identifiants collectés par des logiciels infostealers pour se connecter à environ 160 tenants clients Snowflake dépourvus de MFA. Parmi les victimes : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. Ticketmaster à elle seule a exposé les données d'environ 560 millions d'utilisateurs.

Victim
Tenants clients de Snowflake (~160 organisations : AT&T, Ticketmaster, Santander, LendingTree, Advance Auto Parts, Neiman Marcus, Bausch Health, etc.)
Records
560.0M
Fuite de donnéesRésolu

Fuite de données Combolists Posted to Telegram (2024)

En mai 2024, 2 milliards de lignes de données comportant 361 millions d'adresses e-mail uniques ont été rassemblées à partir de canaux Telegram malveillants. Les données représentaient 122 Go répartis dans 1 700 fichiers contenant des adresses e-mail, des noms d'utilisateur, des mots de passe et, dans de nombreux cas, le site web sur lequel ils avaient été saisis.

Victim
Combolists Posted to Telegram
Records
361.5M
Chaîne d’approvisionnementContenu

Porte dérobée dans XZ Utils (CVE-2024-3094)

Une campagne d'ingénierie sociale pluriannuelle menée par un personnage de mainteneur nommé « Jia Tan » a implanté une porte dérobée SSH dissimulée dans la bibliothèque de compression XZ Utils (liblzma) versions 5.6.0 et 5.6.1, notée CVSS 10,0 — découverte par hasard quelques jours avant qu'elle ne puisse atteindre les versions stables de Linux dans le monde entier.

Victim
XZ Utils / écosystème open source Linux
Fuite de donnéesRésolu

Fuite de données Mr. Green Gaming (2024)

En mars 2024, la communauté de jeux en ligne Mr. Green Gaming a subi une fuite de données qui a exposé 27 000 enregistrements d'utilisateurs. Reconnu sur leur serveur Discord, l'incident a exposé des adresses e-mail et IP, des noms d'utilisateur, des localisations géographiques et des dates de naissance.

Victim
Mr. Green Gaming
Records
27.1K
Fuite de donnéesRésolu

Fuite de données Doxbin (TOoDA) (2024)

En février 2025, le site de « doxing » Doxbin a été compromis par un groupe se faisant appeler « TOoDA » et les données ont été divulguées publiquement. La fuite comprenait 336 000 adresses e-mail uniques accompagnées de noms d'utilisateur.

Victim
Doxbin (TOoDA)
Records
136.5K
Fuite de donnéesRésolu

Fuite de données Spoutible (2024)

En janvier 2024, 207 000 enregistrements de Spoutible ont été extraits d'une API mal configurée qui renvoyait par inadvertance des informations personnelles excessives. Les données comprenaient des noms, noms d'utilisateur, adresses e-mail et IP, numéros de téléphone (lorsqu'ils étaient fournis à la plateforme), genres et empreintes de mots de passe bcrypt.

Victim
Spoutible
Records
207.1K
RançongicielContenu

Rançongiciel Cactus contre Schneider Electric Sustainability Business (2024)

Les opérateurs du rançongiciel Cactus ont frappé la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme de conseil Resource Advisor et exfiltrant environ 1,5 To de données — dont des scans de passeports et des NDA signés de clients tels que Hilton, PepsiCo et Walmart.

Victim
Schneider Electric — division Sustainability Business
Fuite de donnéesRésolu

Fuite de données InflateVids (2023)

En décembre 2023, le site de vidéos fétichistes de gonflables et de ballons InflateVids a subi une fuite de données. L'incident a exposé plus de 13 000 adresses e-mail uniques ainsi que des noms d'utilisateur, adresses IP, genres et empreintes de mots de passe SHA-1.

Victim
InflateVids
Records
13.4K
RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
Bourrage d’identifiantsRésolu

Compromission du système de gestion des dossiers de support d'Okta

Un acteur malveillant a utilisé l'identifiant volé d'un compte de service — exposé via le compte Google personnel d'un employé — pour accéder au système de gestion des dossiers de support client d'Okta, lisant des fichiers HAR contenant des jetons de session et permettant le détournement de session contre des clients dont 1Password, BeyondTrust et Cloudflare.

Victim
Okta
Bourrage d’identifiantsRésolu

Violation de données 23andMe par credential stuffing

Des attaquants ont utilisé des identifiants réutilisés issus de fuites antérieures pour accéder à des comptes 23andMe, puis ont exploité la fonctionnalité « DNA Relatives » pour collecter des données de généalogie et de profils génétiques de 6,9 millions d'utilisateurs à partir des connexions de proches compromis.

Victim
23andMe Holding Co.
Loss
$50.0M
Records
6.9M
RançongicielRésolu

Attaque par rançongiciel sur la chaîne d'approvisionnement IFX Networks

Une attaque par rançongiciel contre le fournisseur cloud régional IFX Networks s'est propagée à plus de 50 entités publiques et privées colombiennes — dont le ministère de la Santé, le pouvoir judiciaire et la Surintendance de l'industrie et du commerce — et a touché 762 organisations en Amérique latine.

Victim
IFX Networks (clients gouvernementaux colombiens)
Fuite de donnéesRésolu

Fuite de données PlayCyberGames (2023)

En août 2023, PlayCyberGames, qui « permet aux utilisateurs de jouer à n'importe quel jeu doté d'une fonction LAN ou utilisant une adresse IP », a subi une fuite de données qui a exposé 3,7 millions d'enregistrements clients. Les données comprenaient des adresses e-mail, des noms d'utilisateur et des hachages de mots de passe MD5 avec une valeur constante dans le champ « salt ».

Victim
PlayCyberGames
Records
3.7M
Fuite de donnéesRésolu

Fuite de données MagicDuel (2023)

En août 2023, le site MagicDuel Adventure a subi une fuite de données qui a exposé 138 000 enregistrements d'utilisateurs. Les données comprenaient des noms de joueurs, des adresses e-mail et IP ainsi que des empreintes de mots de passe bcrypt.

Victim
MagicDuel
Records
138.4K
RançongicielContenu

Rançongiciel Play chez Xplain et fuite de documents fédéraux suisses (2023)

Le rançongiciel Play a compromis le prestataire suisse de services informatiques Xplain, exfiltrant 1,3 million de fichiers. Environ 65 000 documents appartenant à l'Administration fédérale suisse — y compris des contenus classifiés, des données personnelles et des mots de passe lisibles — ont été publiés sur le site de fuite de Play sur le dark web en juin 2023.

Victim
Xplain (prestataire suisse de services informatiques de l'Administration fédérale)
Records
1.3M
EspionnageContenu

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim
Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)
Fuite de donnéesRésolu

Fuite de données Tigo (2023)

À la mi-2023, 300 Go de données contenant plus de 100 millions d'enregistrements de la plateforme chinoise de chat vidéo « Tigo », datant de mars de la même année, ont été découverts. Les données contenaient plus de 700 000 noms uniques, noms d'utilisateur, adresses e-mail et IP, genres, photos de profil et messages privés.

Victim
Tigo
Records
700.4K
Chaîne d’approvisionnementRésolu

Attaque de la chaîne d'approvisionnement 3CX (RPDC)

Des acteurs liés à la Corée du Nord ont trojanisé le client softphone 3CXDesktopApp, diffusant le maliciel SmoothOperator via une mise à jour signée légitimement à une base de plus de 600 000 organisations clientes — la première compromission en cascade documentée de la chaîne d'approvisionnement logicielle, elle-même rendue possible par une compromission antérieure du logiciel de trading X_TRADER.

Victim
3CX (clients de 3CXDesktopApp)
Fuite de donnéesRésolu

Fuite de données Abandonia (2022) (2022)

En novembre 2022, le site de jeux Abandonia, dédié aux jeux DOS classiques, a subi une fuite de données entraînant l'exposition de 920 000 dossiers d'utilisateurs uniques. Cette fuite s'ajoutait à une autre survenue 7 ans plus tôt, en 2015.

Victim
Abandonia (2022)
Records
919.8K
Ingénierie socialeContenu

Intrusion Uber par Lapsus$ via ingénierie sociale

Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.

Victim
Uber Technologies
Fuite de donnéesRésolu

Fuite de données GGCorp (2022)

En août 2022, le site web de MMORPG GGCorp a subi une fuite de données qui a exposé près de 2,4 millions d'adresses e-mail uniques. Les données comprenaient également des adresses IP, des identifiants et des empreintes MD5 de mots de passe.

Victim
GGCorp
Records
2.4M
Fuite de donnéesRésolu

Fuite de données iMenu360 (2022)

Vers la fin 2022, 3,4 millions d'enregistrements clients d'iMenu360 (« La plateforme de commande en ligne n°1 la plus fiable au monde ») ont été exposés. Les données semblaient provenir de systèmes de commande utilisant la plateforme et contenaient des adresses e-mail et physiques, des latitudes et longitudes, des noms et des numéros de téléphone.

Victim
iMenu360
Records
3.4M
Fuite de donnéesContenu

Compromission en deux temps de LastPass et vol des coffres clients (2022)

Un vol de code source en août 2022 sur l'ordinateur portable d'un développeur LastPass s'est enchaîné en novembre 2022 avec la compromission de l'ordinateur personnel d'un ingénieur DevOps — donnant accès aux sauvegardes des coffres de mots de passe des clients. Les enquêteurs fédéraux ont ensuite relié les coffres volés à LastPass à un casse crypto de 150 millions de dollars.

Victim
LastPass
Fuite de donnéesRésolu

Fuite de données Vultr (2022)

En mars 2023, la « plateforme cloud mondiale axée sur l'IA » Vultr a divulgué un incident de sécurité survenu chez un fournisseur tiers. Remontant à l'année précédente, l'incident a été attribué au fournisseur de services d'e-mail marketing ActiveCampaign et a entraîné l'exposition de 188 000 adresses e-mail uniques.

Victim
Vultr
Records
187.9K
Fuite de donnéesRésolu

Fuite de données Fanpass (2022)

En avril 2022, le site britannique d'achat et de vente de billets de football Fanpass a subi une fuite de données qui a exposé 112 000 enregistrements clients. Les données concernées comprennent des noms, des numéros de téléphone, des adresses physiques, des historiques d'achat et des empreintes de mots de passe salées.

Victim
Fanpass
Records
112.3K
private-keypartially-recovered

Casse du Ronin Bridge

Des opérateurs de Lazarus ont compromis cinq des neuf nœuds validateurs de Ronin et falsifié des signatures de retrait, siphonnant 173 600 ETH et 25,5 millions d'USDC (~625 M$) — le plus important vol de cryptomonnaie jamais enregistré à l'époque.

Victim
Sky Mavis / Axie Infinity / Ronin Network
Loss
$625.0M
Menace interneRésolu

Fuite de données clients de Yandex.Eda

Le service de livraison de repas de Yandex, Yandex.Eda, a divulgué les noms, numéros de téléphone, adresses, codes d'interphone et détails de commande de plus de 58 000 clients, ensuite reportés sur un site web public interactif. Le régulateur russe Roskomnadzor a ouvert une procédure et un tribunal de Moscou a infligé à l'entreprise une amende de 60 000 roubles.

Victim
Yandex.Eda
Loss
$700
Records
58.0K
WiperRésolu

Attaque par effaceur WhisperGate

À la veille de l'invasion russe, un effaceur destructeur déguisé en rançongiciel a corrompu des secteurs d'amorçage maîtres et des fichiers dans des dizaines d'organisations gouvernementales, informatiques et associatives ukrainiennes, défigurant des sites officiels et annonçant la dimension cyber de la guerre à venir.

Victim
Organisations gouvernementales, informatiques et associatives ukrainiennes
Fuite de donnéesRésolu

Fuite de données Doxbin (2022)

En janvier 2022, le site de « doxing » Doxbin, conçu pour divulguer les informations personnelles d'individus ciblés (« doxes »), a subi une fuite de données. La fuite a ensuite été divulguée en ligne et comprenait plus de 370 000 adresses e-mail uniques réparties entre des comptes d'utilisateurs et des doxes.

Victim
Doxbin
Records
370.8K
Faille zero-dayRésolu

Log4Shell (Apache Log4j CVE-2021-44228)

Une faille d'exécution de code à distance trivialement exploitable dans Apache Log4j 2, l'omniprésente bibliothèque de journalisation Java, a obtenu le score maximal CVSS 10.0 et exposé des centaines de millions d'appareils et d'applications dans le monde à une prise de contrôle instantanée via une simple chaîne de journalisation forgée.

Victim
Mondial (utilisateurs d'Apache Log4j dans le monde entier)
Fuite de donnéesRésolu

Fuite de données Robinhood (2021)

En novembre 2021, la plateforme de trading en ligne Robinhood a subi une fuite de données après qu'un agent du service client a été victime d'ingénierie sociale. L'incident a exposé plus de 5 millions d'adresses e-mail de clients et 2 millions de noms de clients.

Victim
Robinhood
Records
5.0M
Chaîne d’approvisionnementContenu

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss
$200.0M
Fuite de donnéesRésolu

Fuite de données Paragon Cheats (2021)

En mai 2021, le site de triche pour Grand Theft Auto Online Paragon Cheats a subi une fuite de données qui a entraîné la fermeture du service. La fuite a exposé 188 000 enregistrements de clients comprenant des noms d'utilisateur, des adresses e-mail et IP.

Victim
Paragon Cheats
Records
188.1K
Fuite de donnéesRésolu

Fuite de 533 M d'enregistrements Facebook collectés par scraping

Les données de 533 millions d'utilisateurs Facebook de 106 pays — dont numéros de téléphone, identifiants Facebook, noms complets, localisations, dates de naissance et certaines adresses e-mail — ont été publiées gratuitement sur un forum de piratage de bas niveau. Ces données avaient été collectées via une faille de l'importateur de contacts corrigée par Facebook en 2019.

Victim
Facebook
Loss
$290.0M
Records
533.0M
Fuite de donnéesRésolu

Fuite de données Gemplex (2021)

En février 2021, la plateforme de streaming indienne Gemplex a subi une fuite de données qui a exposé 4,6 millions de comptes utilisateurs. Les données touchées comprenaient des informations sur les appareils, des noms, des numéros de téléphone, des adresses e-mail et des empreintes bcrypt de mots de passe.

Victim
Gemplex
Records
4.6M
Menace interneRésolu

Violation interne de la messagerie Yandex

Yandex a révélé que l'un des trois administrateurs disposant d'un accès privilégié à son service de messagerie vendait un accès non autorisé aux boîtes mail des utilisateurs, compromettant 4 887 boîtes avant que l'équipe de sécurité interne ne détecte l'abus lors d'un contrôle de routine.

Victim
Yandex
Records
4.9K
Fuite de donnéesRésolu

Fuite de données Date Hot Brunettes (2021)

En janvier 2021, le site désormais disparu Date Hot Brunettes, qui proposait un service pour « rencontrer des femmes délaissées sachant garder un secret », a subi une fuite de données. L'incident a exposé 1,5 million d'adresses e-mail uniques ainsi que des adresses IP, des noms d'utilisateur, des biographies saisies par les utilisateurs et des hachages de mots de passe MD5.

Victim
Date Hot Brunettes
Records
1.5M
Chaîne d’approvisionnementContenu

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss
$100.00B
Fuite de donnéesRésolu

Fuite de données GamingMonk (2020)

En décembre 2020, GamingMonk, la « plus grande communauté esport » d'Inde (depuis rachetée par MPL Esports et redirigée vers ce dernier), a subi une fuite de données. L'incident a exposé 655 000 adresses e-mail uniques ainsi que des noms, des identifiants, des numéros de téléphone, des dates de naissance et des empreintes bcrypt de mots de passe.

Victim
GamingMonk
Records
654.5K
Fuite de donnéesRésolu

Fuite de données Chowbus (2020)

En octobre 2020, l'application de livraison de nourriture asiatique Chowbus a subi une fuite de données qui a conduit à l'envoi par e-mail de plus de 800 000 dossiers aux clients. L'e-mail contenait un lien vers un fichier CSV avec des données clients, dont des adresses postales, des noms, des numéros de téléphone et plus de 444 000 adresses e-mail uniques.

Victim
Chowbus
Records
444.2K
misconfigurationRésolu

Violation de données RedDoorz

Une base de données cloud mal configurée a exposé les dossiers d'environ 5,9 millions de clients de la plateforme de réservation hôtelière RedDoorz, ce qui en fait la plus grande violation de données de Singapour à l'époque et a valu une amende emblématique du PDPC à l'exploitant Commeasure.

Victim
RedDoorz (Commeasure Pte Ltd)
Loss
$54.5K
Records
5.9M
Fuite de donnéesRésolu

Fuite de données ShockGore (2020)

En août 2020, le site web de partage de vidéos et d'images explicites de gore et de cruauté envers les animaux a subi une fuite de données. La fuite a exposé 74 000 adresses e-mail uniques ainsi que des noms d'utilisateur, des adresses IP, des genres et des hachages de mots de passe SHA-1 non salés.

Victim
ShockGore
Records
73.9K
Ingénierie socialeRésolu

Arnaque au Bitcoin et compromission de l'outil d'administration de Twitter

Des attaquants ont utilisé le spear-phishing téléphonique contre des employés de Twitter pour atteindre un outil d'administration interne « agent », détournant 130 comptes de premier plan dont ceux d'Obama, Musk, Bezos et Apple, et publiant une arnaque de doublement de Bitcoin qui a rapporté environ 118 000 $.

Victim
Twitter, Inc.
Loss
$118.0K
Bourrage d’identifiantsRésolu

Vague de credential stuffing et de zoombombing sur Zoom

Alors que les confinements liés à la pandémie portaient l'usage de Zoom à des niveaux records, plus de 500 000 identifiants de comptes Zoom récoltés par credential stuffing ont été vendus ou distribués gratuitement sur le dark web, tandis que des réunions ouvertes étaient détournées lors d'une vague d'incidents perturbateurs de « zoombombing ».

Victim
Zoom Video Communications (et ses utilisateurs)
Records
530.0K
Fuite de donnéesRésolu

Fuite de données Covve (2020)

En février 2020, un immense trésor d'informations personnelles désigné sous le nom de "db8151dd" a été fourni à HIBP après avoir été découvert exposé sur un serveur Elasticsearch accessible publiquement.

Victim
Covve
Records
22.8M
Fuite de donnéesRésolu

Fuite de données MobiFriends (2020)

En janvier 2020, l'application de rencontres basée à Barcelone MobiFriends a subi une fuite de données qui a exposé 3,5 millions d'adresses e-mail uniques. Les données comprenaient également des noms d'utilisateur, des genres, des dates de naissance et des empreintes de mots de passe MD5.

Victim
MobiFriends
Records
3.5M
Fuite de donnéesRésolu

Fuite de données BtoBet (2019)

En décembre 2019, une vaste collection de données de la société de paris nigériane Surebet247 a été envoyée à HIBP. Aux côtés de Surebet247, des sauvegardes de bases de données des sites de paris BetAlfa, BetWay, BongoBongo et TopBet étaient également incluses.

Victim
BtoBet
Records
444.2K
Fuite de donnéesRésolu

Fuite de données GameSprite (2019)

En décembre 2019, la plateforme de jeu désormais disparue GameSprite a subi une fuite de données qui a exposé plus de 6 millions d'adresses e-mail uniques. Les données concernées comprenaient également des noms d'utilisateur, des adresses IP et des empreintes de mots de passe MD5 salées.

Victim
GameSprite
Records
6.2M
Fuite de donnéesRésolu

Fuite de données Go Ninja (2019)

En décembre 2019, le site web de jeux allemand aujourd'hui disparu Go Ninja a subi une fuite de données qui a exposé 5 millions d'adresses e-mail uniques. Les données touchées comprenaient des identifiants, des adresses e-mail et IP et des empreintes MD5 salées de mots de passe.

Victim
Go Ninja
Records
5.0M
Fuite de donnéesRésolu

Fuite de données SoarGames (2019)

En décembre 2019, le site de jeux aujourd'hui disparu SoarGames a subi une fuite de données qui a exposé 4,8 millions d'adresses e-mail uniques. Les données concernées comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des empreintes de mots de passe MD5 salées.

Victim
SoarGames
Records
4.8M
Fuite de donnéesRésolu

Fuite de données Minehut (2019)

En mai 2019, le site de serveurs Minecraft Minehut a subi une fuite de données. L'entreprise a indiqué qu'une sauvegarde de base de données avait été obtenue, après quoi elle a notifié tous les utilisateurs concernés. 397 000 adresses e-mail issues de l'incident ont été fournies à HIBP.

Victim
Minehut
Records
396.5K
Fuite de donnéesRésolu

Fuite de données Everybody Edits (2019)

En mars 2019, le jeu de plateforme multijoueur Everybody Edits a subi une fuite de données. L'incident a exposé 871 000 adresses e-mail uniques ainsi que des noms d'utilisateur et des adresses IP. Les données ont ensuite été diffusées en ligne sous forme d'un ensemble de fichiers.

Victim
Everybody Edits
Records
871.2K
Fuite de donnéesRésolu

Fuite de données Mindjolt (2019)

En mars 2019, le site de jeux en ligne MindJolt a subi une fuite de données qui a exposé 28 millions d'adresses e-mail uniques. Les noms et les dates de naissance ont également été touchés, mais aucun mot de passe.

Victim
Mindjolt
Records
28.4M
Fuite de donnéesRésolu

Fuite de données Peatix (2019)

En janvier 2019, la plateforme d'organisation d'événements Peatix a subi une fuite de données. L'incident a exposé 4,2 millions d'adresses e-mail, des noms et des hachages de mots de passe salés. Les données ont été fournies à HIBP par dehashed.com.

Victim
Peatix
Records
4.2M
Bourrage d’identifiantsRésolu

Fuite d'identifiants Collection #1

Un dump agrégé d'identifiants de 87 Go publié sur le service cloud MEGA a exposé 772,9 millions d'adresses e-mail uniques et 21,2 millions de mots de passe uniques, assemblés à partir de milliers de fuites antérieures pour alimenter des attaques de credential stuffing à l'échelle industrielle.

Victim
Internautes du monde entier (dump agrégé multi-fuites)
Records
772.9M
Fuite de donnéesRésolu

Fuite de données BannerBit (2018)

Aux alentours de décembre 2018, la plateforme publicitaire en ligne BannerBit a subi une fuite de données. Contenant 213 000 adresses e-mail uniques et des mots de passe en texte clair, les données ont été fournies à HIBP par un tiers. Plusieurs tentatives ont été faites pour contacter BannerBit, mais aucune réponse n'a été reçue.

Victim
BannerBit
Records
213.4K
Fuite de donnéesRésolu

Fuite de données Ajarn (2018)

En septembre 2021, le site thaïlandais d'enseignement de l'anglais Ajarn a découvert qu'il avait été victime d'une fuite de données remontant à décembre 2018. La fuite a été signalée à HIBP par l'entreprise elle-même et comprenait 266 000 adresses e-mail, noms, genres, numéros de téléphone et autres informations personnelles.

Victim
Ajarn
Records
266.4K
Fuite de donnéesContenu

Violation de données Quora

La plateforme de questions-réponses Quora a révélé qu'un tiers non autorisé avait accédé aux données d'environ 100 millions d'utilisateurs, dont les noms, adresses e-mail, mots de passe salés et hachés, ainsi que des contacts et données démographiques importés.

Victim
Quora
Records
100.0M
Fuite de donnéesRésolu

Fuite de données WPSandbox (2018)

En novembre 2018, le service de bac à sable WordPress permettant de créer des sites web temporaires WP Sandbox a découvert que son service était utilisé pour héberger un site de phishing tentant de collecter des comptes Microsoft OneDrive.

Victim
WPSandbox
Records
858
Fuite de donnéesRésolu

Fuite de données Wife Lovers (2018)

En octobre 2018, le site dédié à la publication de photos dénudées et d'autres contenus érotiques d'épouses Wife Lovers a subi une fuite de données. La base de données sous-jacente alimentait au total 8 sites web pour adultes différents et contenait plus de 1,2 million d'adresses e-mail uniques.

Victim
Wife Lovers
Records
1.3M
Fuite de donnéesRésolu

Fuite de données Lanwar (2018)

En juillet 2018, le personnel du site de jeux Lanwar a découvert une fuite de données qui, selon eux, remonte à un moment au cours des mois précédents. Les données contenaient 45 k noms, adresses e-mail, noms d'utilisateur et mots de passe en clair.

Victim
Lanwar
Records
45.1K
Fuite de donnéesRésolu

Exposition de données Exactis

La société de marketing de données Exactis a laissé une base de données de près de 340 millions d'enregistrements sur des particuliers et des entreprises exposée sur un serveur accessible publiquement, sans pare-feu. Chaque enregistrement contenait jusqu'à 400 champs de données de profilage personnel, des coordonnées à l'âge des enfants, en passant par la religion et les habitudes.

Victim
Exactis LLC
Records
340.0M
Fuite de donnéesRésolu

Fuite de données Mortal Online (2018)

En juin 2018, le jeu de rôle en ligne massivement multijoueur (MMORPG) Mortal Online a subi une fuite de données. Un fichier contenant 570 000 adresses e-mail et mots de passe craqués a ensuite été distribué en ligne.

Victim
Mortal Online
Records
606.6K
Fuite de donnéesRésolu

Fuite de données Ticketfly (2018)

En mai 2018, le site web du service de distribution de billets Ticketfly a été défacé par un attaquant et a ensuite été mis hors ligne. L'attaquant aurait demandé une rançon pour partager les détails de la vulnérabilité avec Ticketfly mais n'a pas reçu de réponse et a par la suite publié les données de la fuite…

Victim
Ticketfly
Records
26.2M
Fuite de donnéesRésolu

Fuite de données Funny Games (2018)

En avril 2018, le site de divertissement en ligne Funny Games a subi une fuite de données qui a divulgué 764 000 enregistrements, dont des noms d'utilisateur, des adresses e-mail et IP et des empreintes de mots de passe MD5 salées.

Victim
Funny Games
Records
764.4K
Ingénierie socialeRésolu

Scandale des données Facebook–Cambridge Analytica

Le cabinet de conseil politique Cambridge Analytica a obtenu de manière abusive les données personnelles de jusqu'à 87 millions d'utilisateurs Facebook via une application de quiz de personnalité, exploitant l'API tierce permissive de Facebook pour collecter les réseaux d'amis et bâtir des profils de ciblage électoral. Le scandale a entraîné une amende record de 5 milliards de dollars de la FTC.

Victim
Facebook
Loss
$5.00B
Records
87.0M
Fuite de donnéesRésolu

Fuite de données EyeEm (2018)

En février 2018, le site de photographie EyeEm a subi une fuite de données. La fuite a été identifiée au sein d'une collection d'autres incidents majeurs et a exposé près de 20 millions d'adresses e-mail uniques, des noms, des noms d'utilisateur, des biographies et des empreintes de mots de passe.

Victim
EyeEm
Records
19.6M
Fuite de donnéesRésolu

Fuite de données MyFitnessPal (2018)

En février 2018, l'application MyFitnessPal d'Under Armour a été compromise, exposant environ 144 millions de comptes avec noms d'utilisateur, e-mails et mots de passe hachés via un mélange de SHA-1 et bcrypt ; les données ont ensuite été mises en vente par GnosticPlayers.

Victim
MyFitnessPal (Under Armour)
Records
143.6M
private-keystolen

Casse NEM de Coincheck

La plateforme d'échange de cryptomonnaies Coincheck, basée à Tokyo, a perdu 523 millions de jetons NEM (~530 M$ à l'époque) depuis un portefeuille chaud dépourvu de protection multi-signature. Le plus grand vol sur une plateforme d'échange de cryptomonnaies en une seule fois à l'époque — attribué par la suite au groupe Lazarus de Corée du Nord.

Victim
Coincheck Inc.
Loss
$530.0M
Fuite de donnéesRésolu

Fuite de données Lyrics Mania (2017)

En décembre 2017, le site de paroles de chansons connu sous le nom de Lyrics Mania a subi une fuite de données. Les données compromises comprenaient 109 000 noms d'utilisateur, adresses e-mail et mots de passe en clair. De nombreuses tentatives ont été faites pour contacter Lyrics Mania au sujet de l'incident, mais aucune réponse n'a été reçue.

Victim
Lyrics Mania
Records
109.2K
Fuite de donnéesRésolu

Violation de données et dissimulation Uber 2016

Des attaquants ont volé les données personnelles de 57 millions de passagers et chauffeurs Uber en octobre 2016. Plutôt que de divulguer l'incident, Uber a versé aux pirates une rançon de 100 000 dollars en la déguisant en prime de bug — une dissimulation qui a entraîné un règlement de 148 millions de dollars avec les États et la condamnation pénale du responsable de la sécurité d'Uber.

Victim
Uber Technologies, Inc.
Loss
$148.0M
Records
57.0M
Fuite de donnéesRésolu

Fuite de données Onliner Spambot (2017)

En août 2017, un spambot du nom d'Onliner Spambot a été identifié par le chercheur en sécurité Benkow moʞuƎq. Le logiciel malveillant comportait un composant serveur situé à une adresse IP aux Pays-Bas, qui exposait un grand nombre de fichiers contenant des informations personnelles.

Victim
Onliner Spambot
Records
711.5M
Exploitation de vulnérabilitéRésolu

Fuite mémoire « Cloudbleed » de Cloudflare

Un bug de dépassement de tampon dans les serveurs périphériques de Cloudflare les amenait à divulguer des fragments de mémoire adjacente — mots de passe, cookies et messages privés d'autres clients — dans des pages web, dont certains ont été mis en cache par les moteurs de recherche. La faille est restée active pendant des mois avant d'être découverte par Project Zero de Google.

Victim
Cloudflare, Inc.
Fuite de donnéesRésolu

Fuite de données Coachella (2017)

En février 2017, des centaines de milliers de dossiers du festival de musique Coachella ont été découverts en vente en ligne. Prétendument issues d'une combinaison du site principal de Coachella et de leur forum de discussion basé sur vBulletin, les données comprenaient près de 600 000 noms d'utilisateur, adresses IP et e-mail et…

Victim
Coachella
Records
599.8K
Fuite de donnéesRésolu

Fuite de données SwordFantasy (2017)

En janvier 2019, le jeu MMO et RPG aujourd'hui disparu SwordFantasy a subi une fuite de données qui a exposé 2,7 millions d'adresses e-mail uniques. Les autres données touchées comprenaient le nom d'utilisateur, l'adresse IP et des condensats MD5 salés de mots de passe.

Victim
SwordFantasy
Records
2.7M
Fuite de donnéesRésolu

Fuite de données PayAsUGym (2016)

En décembre 2016, un attaquant a compromis le site web de PayAsUGym, exposant les données personnelles de plus de 400 000 clients. Les données ont par conséquent été divulguées publiquement et largement diffusées via Twitter.

Victim
PayAsUGym
Records
400.3K
Fuite de donnéesRésolu

Fuite de données FashionFantasyGame (2016)

Fin 2016, le site de jeu de mode Fashion Fantasy Game a subi une fuite de données. L'incident a exposé 2,3 millions de comptes utilisateurs uniques et les empreintes de mots de passe MD5 correspondantes sans sel. Les données ont été transmises à Have I Been Pwned grâce à rip@creep.im.

Victim
FashionFantasyGame
Records
2.4M
Fuite de donnéesRésolu

Fuite de données Warmane (2016)

Vers décembre 2016, le service en ligne de serveurs privés World of Warcraft Warmane a subi une fuite de données. L'incident a exposé plus de 1,1 million de comptes comprenant des noms d'utilisateur, des adresses e-mail, des dates de naissance et des hachages MD5 salés des mots de passe.

Victim
Warmane
Records
1.1M
Exploitation de vulnérabilitéRésolu

Fuite de données FriendFinder Networks

Une faille d'inclusion de fichier local a permis aux attaquants de dérober 412 millions de comptes sur les sites pour adultes et de rencontres de FriendFinder Networks, dont AdultFriendFinder. La plupart des mots de passe étaient stockés en clair ou en SHA-1 non salé, et les comptes « supprimés » ne l'avaient jamais réellement été.

Victim
FriendFinder Networks
Records
412.2M
DDoSRésolu

Attaque DDoS Mirai contre le DNS Dyn

Une attaque DDoS massive du botnet Mirai contre le fournisseur de DNS managé Dyn a mis hors ligne Twitter, Netflix, Spotify, GitHub, Reddit et des dizaines d'autres grands sites aux États-Unis et en Europe, démontrant comment un botnet d'objets connectés compromis pouvait perturber de larges pans d'Internet.

Victim
Dyn, Inc.
Fuite de donnéesRésolu

Fuite de données GFAN (2016)

En octobre 2016, des données prétendument obtenues auprès du site web chinois GFAN ont fait surface et contenaient 22,5 millions de comptes. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été signalée comme « non vérifiée ».

Victim
GFAN
Records
22.5M
Fuite de donnéesContenu

Fuite chez Dailymotion

En octobre 2016, la plateforme française de partage de vidéos Dailymotion a été victime d'une fuite exposant environ 85,2 millions de comptes utilisateurs, avec adresses email et noms d'utilisateur, et des hachages bcrypt de mots de passe pour près de 18 millions d'entre eux.

Victim
Dailymotion
Records
85.2M
Fuite de donnéesRésolu

Fuite de données Aipai.com (2016)

En septembre 2016, des données prétendument obtenues du site de jeux chinois connu sous le nom d'Aipai.com et contenant 6,5 M de comptes ont été divulguées en ligne. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».

Victim
Aipai.com
Records
6.5M
Fuite de donnéesRésolu

Fuite de données uuu9 (2016)

En septembre 2016, des données auraient été obtenues depuis le site chinois connu sous le nom de uuu9.com et contenaient 7,5 millions de comptes. Bien qu'il existe des preuves que les données sont authentiques, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme « non vérifiée ».

Victim
uuu9
Records
7.5M
Fuite de donnéesRésolu

Fuite de données GeekedIn (2016)

En août 2016, le site de recrutement technologique GeekedIn a laissé une base de données MongoDB exposée et plus de 8 millions d'enregistrements ont été extraits par un tiers inconnu. Les données compromises avaient été initialement récupérées sur GitHub en violation de ses conditions d'utilisation et contenaient des informations exposées dans des profils publics,…

Victim
GeekedIn
Records
1.1M
Fuite de donnéesRésolu

Fuite de données Wishbone (2016) (2016)

En août 2016, l'application mobile permettant de « tout comparer » connue sous le nom de Wishbone a subi une fuite de données. Les données contenaient 9,4 millions d'enregistrements avec 2,2 millions d'adresses e-mail uniques et constituaient prétendument un sous-ensemble de l'ensemble de données complet.

Victim
Wishbone (2016)
Records
2.2M
Fuite de donnéesRésolu

Fuite de données AbuseWith.Us (2016)

En 2016, le site dédié à aider les internautes à pirater des comptes de messagerie et de jeux en ligne, connu sous le nom d'Abusewith.us, a subi plusieurs fuites de données. Le site aurait eu un administrateur en commun avec le tristement célèbre site LeakedSource, tous deux ayant depuis été fermés.

Victim
AbuseWith.Us
Records
1.4M
Fuite de donnéesRésolu

Fuite de données Kaneva (2016)

En juillet 2016, le site aujourd'hui disparu Kaneva, le service permettant de « construire et explorer des mondes virtuels », a subi une fuite de données qui a exposé 3,9 millions d'enregistrements utilisateurs. Les données comprenaient des adresses e-mail, des noms d'utilisateur, des dates de naissance et des empreintes de mots de passe MD5 salées.

Victim
Kaneva
Records
3.9M
Fuite de donnéesRésolu

Fuite de données Muslim Match (2016)

En juin 2016, le site de rencontres Muslim Match a vu 150 000 adresses e-mail exposées. Les données comprenaient des discussions et des messages privés entre personnes en quête de relations ainsi que de nombreux autres attributs personnels, dont des mots de passe hachés en MD5.

Victim
Muslim Match
Records
149.8K
Fuite de donnéesRésolu

Fuite de données Facepunch (2016)

En juin 2016, le studio de développement de jeux Facepunch a subi une fuite de données qui a exposé 343 000 utilisateurs. Les données compromises comprenaient des noms d'utilisateur, des adresses e-mail et IP, des dates de naissance et des empreintes de mots de passe MD5 salées. Facepunch a indiqué avoir eu connaissance de l'incident et en avoir averti les personnes concernées à l'époque.

Victim
Facepunch
Records
342.9K
Fuite de donnéesRésolu

Fuite de données Evony (2016)

En juin 2016, le jeu multijoueur en ligne Evony a été piraté et plus de 29 millions de comptes uniques ont été exposés. L'attaque a entraîné l'exposition de noms d'utilisateur, d'adresses e-mail et IP et d'empreintes MD5 de mots de passe (sans sel).

Victim
Evony
Records
29.4M
Fuite de donnéesRésolu

Fuite d'identifiants MySpace

Les identifiants d'environ 360 millions de comptes MySpace antérieurs à 2013 ont été mis en vente sur le dark web en 2016. Les mots de passe étaient stockés sous forme de hachages SHA-1 non salés, rendant trivialement cassable l'une des plus grandes fuites d'identifiants jamais divulguées.

Victim
MySpace (Time Inc.)
Records
360.0M
Fuite de donnéesRésolu

Fuite de données Army Force Online (2016)

En mai 2016, le site de jeux en ligne Army Force Online a subi une fuite de données qui a exposé 1,5 million de comptes. Les données compromises se trouvaient régulièrement échangées en ligne et comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe MD5.

Victim
Army Force Online
Records
1.5M
Fuite de donnéesRésolu

Fuite de données Fur Affinity (2016)

En mai 2016, le site Fur Affinity destiné aux personnes s'intéressant aux personnages animaux anthropomorphes (également connus sous le nom de « furries ») a été piraté. L'attaque a exposé 1,2 million d'adresses e-mail (de nombreux comptes avaient une adresse « première » et « dernière » différente associée) et des mots de passe hachés.

Victim
Fur Affinity
Records
1.3M
Fuite de donnéesRésolu

Fuite de données Guns and Robots (2016)

Vers avril 2016, le site web de jeux Guns and Robots a subi une fuite de données entraînant l'exposition de 143 000 enregistrements uniques. Les données contenaient des adresses e-mail et IP, des identifiants et des empreintes SHA-1 de mots de passe.

Victim
Guns and Robots
Records
143.6K
Fuite de donnéesRésolu

Fuite de données Nival (2016)

En février 2016, la société de jeux russe Nival a été la cible d'une attaque qui a ensuite été détaillée sur Reddit. Protestant prétendument contre « la politique étrangère de la Russie à l'égard de l'Ukraine », Nival faisait partie de plusieurs sites russes touchés par la fuite et a vu plus de 1,5 million de comptes compromis, comprenant…

Victim
Nival
Records
1.5M
Fuite de donnéesRésolu

Fuite de données Minecraft World Map (2016)

Vers janvier 2016, le site Minecraft World Map, conçu pour partager des cartes créées pour le jeu, a été piraté et plus de 71 000 comptes d'utilisateurs ont été exposés. Les données comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe salés et hachés.

Victim
Minecraft World Map
Records
71.1K
Fuite de donnéesRésolu

Fuite de données XPG (2016)

Vers début 2016, le site de jeu Xpgamesaves (XPG) a subi une fuite de données entraînant l'exposition de 890 000 enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés des mots de passe.

Victim
XPG
Records
890.3K
Fuite de donnéesRésolu

Fuite de données DaniWeb (2015)

Fin 2015, le site technologique et social DaniWeb a subi une fuite de données. L'attaque a entraîné la divulgation de 1,1 million de comptes, notamment des adresses e-mail et IP, accompagnées de hachages MD5 salés des mots de passe.

Victim
DaniWeb
Records
1.1M
Fuite de donnéesRésolu

Fuite de données Beautiful People (2015)

En novembre 2015, le site de rencontres Beautiful People a été piraté et plus de 1,1 million de comptes ont été divulgués. Les données s'échangeaient dans des cercles clandestins et comprenaient une énorme quantité d'informations personnelles liées aux rencontres.

Victim
Beautiful People
Records
1.1M
Fuite de donnéesRésolu

Fuite de données InterPals (2015)

Fin 2015, le site de correspondants en ligne InterPals a vu son site web piraté et 3,4 millions de comptes exposés. Les données compromises comprenaient des adresses e-mail, des localisations géographiques, des dates de naissance et des empreintes de mots de passe salées.

Victim
InterPals
Records
3.4M
Fuite de donnéesRésolu

Fuite de données xat (2015)

En novembre 2015, le salon de discussion en ligne connu sous le nom de « xat » a été piraté et 6 millions de comptes d'utilisateurs ont été exposés. Utilisées comme moteur de discussion sur des sites web, les données divulguées comprenaient des noms d'utilisateur, des adresses e-mail et IP ainsi que des mots de passe hachés.

Victim
xat
Records
6.0M
Fuite de donnéesRésolu

Fuite de données Abandonia (2015) (2015)

En novembre 2015, le site de jeux Abandonia, dédié aux jeux DOS classiques, a subi une fuite de données entraînant l'exposition de 776 000 dossiers d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés des mots de passe.

Victim
Abandonia (2015)
Records
776.1K
Fuite de donnéesRésolu

Compromission d'Ashley Madison (Avid Life Media)

Un groupe se nommant l'Impact Team a piraté le site de rencontres adultères Ashley Madison, puis a divulgué les données de compte d'environ 32 millions d'utilisateurs — noms, e-mails, préférences sexuelles et historiques de paiement — après que la société mère Avid Life Media a refusé de fermer le site.

Victim
Avid Life Media (Ashley Madison)
Loss
$1.6M
Records
32.0M
Fuite de donnéesRésolu

Fuite de données Soundwave (2015)

Vers la mi-2015, l'application de suivi musical Soundwave a subi une fuite de données. La fuite provenait d'un incident au cours duquel « des données de production avaient été utilisées pour remplir la base de données de test », qui a ensuite été exposée par inadvertance dans une base MongoDB.

Victim
Soundwave
Records
130.7K
Fuite de donnéesRésolu

Fuite de données SvenskaMagic (2015)

À un moment en 2015, le site suédois de magie SvenskaMagic a subi une fuite de données qui a exposé plus de 30 000 enregistrements. Les données compromises comprenaient des noms d'utilisateur, des adresses e-mail et des empreintes de mots de passe MD5. Les données ont été soumises elles-mêmes à HIBP par SvenskaMagic.

Victim
SvenskaMagic
Records
30.3K
Fuite de donnéesRésolu

Fuite de données Warframe (2014)

En novembre 2014, le jeu en ligne Warframe a été piraté et 819 000 adresses e-mail uniques ont été exposées. Prétendument due à une faille d'injection SQL dans Drupal, l'attaque a exposé des noms d'utilisateur, des adresses e-mail et des données dans une colonne « pass » correspondant au modèle de hachage de mot de passe SHA12 salé utilisé par Drupal 7.

Victim
Warframe
Records
819.5K
Fuite de donnéesRésolu

Fuite de données Bin Weevils (2014)

En septembre 2014, le jeu en ligne Bin Weevils a subi une fuite de données. Bien qu'il ait initialement été déclaré que seuls les noms d'utilisateur et les mots de passe avaient été exposés, un article ultérieur sur DataBreaches.net a indiqué qu'un ensemble plus large d'attributs personnels avait été touché (des commentaires y suggèrent également que les données…

Victim
Bin Weevils
Records
1.3M
Fuite de donnéesRésolu

Fuite de données Powerbot (2014)

Vers septembre 2014, le site web de bots RuneScape Powerbot a subi une fuite de données entraînant l'exposition de plus d'un demi-million d'enregistrements d'utilisateurs uniques. Les données contenaient des adresses e-mail et IP, des noms d'utilisateur et des hachages MD5 salés de mots de passe.

Victim
Powerbot
Records
503.5K
Fuite de donnéesRésolu

Fuite de données Pokémon Creed (2014)

En août 2014, le site web de RPG Pokémon Pokémon Creed a été piraté à la suite d'un différend avec le site rival, Pokémon Dusk. Dans une publication sur Facebook, « Cruz Dusk » a annoncé le piratage puis a divulgué la base de données MySQL extraite sur pkmndusk.in.

Victim
Pokémon Creed
Records
116.5K
Fuite de donnéesRésolu

Fuite de données Manga Traders (2014)

En juin 2014, le site d'échange de mangas Mangatraders.com a vu les noms d'utilisateur et les mots de passe de plus de 900 000 utilisateurs divulgués sur Internet (environ 855 000 des adresses e-mail étaient uniques). Les mots de passe étaient faiblement hachés avec une seule itération de MD5, ce qui les rendait vulnérables et faciles à craquer.

Victim
Manga Traders
Records
855.2K
Fuite de donnéesRésolu

Fuite de données Coupon Mom / Armor Games (2014)

En 2014, un fichier prétendument constitué de données piratées de Coupon Mom a été créé et comprenait 11 millions d'adresses e-mail et de mots de passe en texte clair. Après enquête approfondie, le fichier s'est également avéré contenir des données indiquant qu'elles provenaient d'Armor Games.

Victim
Coupon Mom / Armor Games
Records
11.0M
Fuite de donnéesRésolu

Fuite de données WPT Amateur Poker League (2014)

En janvier 2014, le site web de la World Poker Tour (WPT) Amateur Poker League a été piraté par l'utilisateur Twitter @smitt3nz. L'attaque a entraîné la divulgation publique de 175 000 comptes, dont 148 000 adresses e-mail. Le mot de passe en clair de chaque compte figurait également dans la fuite.

Victim
WPT Amateur Poker League
Records
148.4K
Fuite de donnéesRésolu

Fuite de données XSplit (2013)

En novembre 2013, les créateurs du logiciel de diffusion et d'enregistrement en direct de jeux XSplit ont été compromis lors d'une attaque en ligne. La fuite de données a divulgué près de 3 millions de noms, d'adresses e-mail, de noms d'utilisateur et de mots de passe hachés.

Victim
XSplit
Records
3.0M
Fuite de donnéesRésolu

Fuite de données Adobe (2013)

Des attaquants ont dérobé environ 153 millions d'enregistrements de comptes Adobe — identifiants, e-mails, mots de passe faiblement chiffrés et indices en clair — ainsi que le code source de plusieurs produits Adobe, dans l'une des plus grandes fuites jamais subies par un éditeur de logiciels.

Victim
Adobe Systems
Loss
$1.0M
Records
152.4M
Fuite de donnéesRésolu

Fuite de données Badoo (2013)

Un jeu de données attribué au réseau social et de rencontres Badoo a exposé environ 112 millions d'adresses e-mail uniques ainsi que des noms, des dates de naissance et des hachages de mots de passe MD5 ; les données ont circulé entre traders en 2016 et restent formellement non vérifiées.

Victim
Badoo
Records
112.0M
Fuite de donnéesRésolu

Fuite de données Tumblr (2013)

Une intrusion survenue en 2013 sur la plateforme de blogs Tumblr a exposé environ 65 millions d'adresses e-mail et de hachages de mots de passe SHA-1 salés ; l'ampleur n'a été révélée qu'en 2016, lorsque les données ont été mises en vente sur des marchés du dark web.

Victim
Tumblr
Records
65.5M
Fuite de donnéesRésolu

Fuite de données Heroes of Gaia (2013)

Début 2013, le jeu multijoueur de fantasy en ligne Heroes of Gaia a subi une fuite de données. Les enregistrements les plus récents de l'ensemble de données indiquent une date de fuite au 4 janvier 2013 et comprennent des identifiants, des adresses IP et e-mail mais aucun mot de passe.

Victim
Heroes of Gaia
Records
180.0K
Fuite de donnéesRésolu

Fuite de données Heroes of Newerth (2012)

En décembre 2012, le jeu d'arène de bataille en ligne multijoueur connu sous le nom de Heroes of Newerth a été piraté et plus de 8 millions de comptes ont été extraits du système. Les données compromises comprenaient des identifiants, des adresses e-mail et des mots de passe.

Victim
Heroes of Newerth
Records
8.1M
Fuite de donnéesRésolu

Fuite de données War Inc. (2012)

Au milieu de l'année 2012, le jeu de stratégie en temps réel War Inc. a subi une fuite de données. L'attaque a entraîné l'exposition de plus d'un million de comptes comprenant des noms d'utilisateur, des adresses e-mail et des hachages MD5 salés des mots de passe.

Victim
War Inc.
Records
1.0M
Fuite de donnéesRésolu

Fuite de mots de passe LinkedIn

Une intrusion de 2012 chez LinkedIn a exposé des mots de passe utilisateurs stockés sous forme de hachages SHA-1 non salés. D'abord annoncée à 6,5 millions d'identifiants, l'ampleur réelle de 117 millions de comptes n'est apparue qu'en 2016, lorsque les données ont été mises en vente sur le dark web.

Victim
LinkedIn
Loss
$1.3M
Records
117.0M
Fuite de donnéesRésolu

Fuite de données Last.fm (2012)

La plateforme musicale Last.fm a été piratée en mars 2012, exposant plus de 43 millions de comptes avec des noms d'utilisateur, des adresses e-mail et des hachages de mots de passe MD5 non salés ; plus de 96 % des mots de passe ont été cassés en quelques heures lorsque les données ont fait surface en 2016.

Victim
Last.fm
Records
37.2M
Fuite de donnéesRésolu

Fuite de données YouPorn (2012)

En février 2012, le site pour adultes YouPorn a vu plus de 1,3 million de comptes utilisateur exposés lors d'une fuite de données. Les données rendues publiques comprenaient à la fois des adresses e-mail et des mots de passe en clair.

Victim
YouPorn
Records
1.3M
Fuite de donnéesRésolu

Fuite de données Dodonew.com (2011)

Fin 2011, des données auraient été obtenues auprès du site chinois connu sous le nom de Dodonew.com et contenaient 8,7 millions de comptes. Bien qu'il existe des preuves que les données sont légitimes, en raison de la difficulté à vérifier catégoriquement cette fuite chinoise, elle a été signalée comme « non vérifiée ».

Victim
Dodonew.com
Records
8.7M
Chaîne d’approvisionnementRésolu

Violation de SK Communications (Nate / Cyworld)

Des pirates exploitant un canal de mise à jour logicielle empoisonné ont volé les données personnelles d'environ 35 millions d'utilisateurs de Nate et Cyworld — noms, numéros d'enregistrement de résident, numéros de téléphone et mots de passe chiffrés — dans ce qui était alors la plus grande violation de données de Corée du Sud.

Victim
SK Communications (Nate, Cyworld)
Records
35.0M
Fuite de donnéesRésolu

Fuite de données Civil Online (2011)

Vers la mi-2011, des données auraient été obtenues du site d'ingénierie chinois connu sous le nom de Civil Online et contenaient 7,8 millions de comptes. Bien qu'il existe des preuves que les données sont légitimes, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme "non vérifiée".

Victim
Civil Online
Records
7.8M
EspionnageRésolu

Compromission des graines SecurID de RSA

Un courriel de harponnage porteur d'une faille zero-day Flash a donné aux attaquants un point d'entrée chez RSA, depuis lequel ils ont exfiltré des données liées au système d'authentification à deux facteurs SecurID — données ensuite utilisées dans une tentative d'intrusion contre Lockheed Martin.

Victim
RSA Security (EMC)
Loss
$66.0M
Fuite de donnéesRésolu

Fuite de données 7k7k (2011)

Vers 2011, le site de jeux chinois connu sous le nom de 7k7k aurait subi une fuite de données ayant touché 9,1 millions d'abonnés. Bien qu'il existe des indices que les données soient authentiques, en raison de la difficulté à vérifier de manière catégorique cette fuite chinoise, elle a été marquée comme « non vérifiée ».

Victim
7k7k
Records
9.1M
Fuite de donnéesRésolu

Fuite de données Duowan.com (2011)

Vers 2011, des données auraient été obtenues à partir du site de jeux chinois connu sous le nom de Duowan.com et contenaient 2,6 millions de comptes. Bien qu'il existe des preuves de la légitimité des données, en raison de la difficulté à vérifier formellement cette fuite chinoise, elle a été signalée comme « non vérifiée ».

Victim
Duowan.com
Records
2.6M
Fuite de donnéesRésolu

Fuite de données Elance (2009)

À un moment de 2009, la plateforme de recrutement Elance a subi une fuite de données qui a affecté 1,3 million de comptes. Apparues en ligne 8 ans plus tard, les données contenaient des noms d'utilisateur, des adresses e-mail, des numéros de téléphone et des empreintes SHA1 de mots de passe, parmi d'autres données personnelles.

Victim
Elance
Records
1.3M
Fuite de donnéesRésolu

Fuite de données Foxy Bingo (2008)

En avril 2007, le site de jeux d'argent en ligne Foxy Bingo a été piraté et 252 000 comptes ont été obtenus par les pirates. Les enregistrements compromis ont ensuite été vendus et échangés et comprenaient des données personnelles telles que des mots de passe en clair, des dates de naissance et des adresses postales.

Victim
Foxy Bingo
Records
252.2K