ShinyHunters divulgue des données présumées de Qantas, Vietnam Airlines et d'autres grandes entreprises

Les pirates, s'identifiant comme « Scattered Lapsus$ Hunters », un collectif qui combinerait des éléments de Scattered Spider, Lapsus$ et ShinyHunters, ont désormais publié des données appartenant prétendument à 6 des 39 entreprises ciblées.

Les entreprises citées dans la fuite sont les suivantes :

1. Fujifilm
2. GAP, INC.
3. Vietnam Airlines
4. Engie Ressources
5. Qantas Airways Limited
6. Albertsons Companies, Inc.

Bien que les entreprises concernées soient les seules à pouvoir vérifier la violation, Hackread.com a réalisé une analyse approfondie des données divulguées, qui semblent légitimes. Dans les six fuites, les données contiennent des informations personnelles sur les clients et les entreprises, notamment leurs adresses e-mail, leurs noms complets, leurs adresses, leurs numéros de passeport et de téléphone.

L'ensemble de données prétendument divulgué par Qantas Airways Limited est volumineux : 153 Go. Les fichiers sont au format JSON et contiendraient plus de 5 millions d'enregistrements. Les données ont été publiées le 10 octobre 2025 et déclarées publiques par les auteurs de la menace.

Cet ensemble de données combine des informations personnelles identifiables (IPI) avec des données de fidélité client et des données internes à l'entreprise, ce qui le rend potentiellement vulnérable s'il est authentique. Voici le contenu des données divulguées :

1. Genre
2. Pays
3. Nom et prénom
4. Date de naissance
5. Solde de points
6. Devise utilisée (AUD)
7. Numéro de voyageur fréquent
8. Dates d'adhésion et d'anniversaire du programme de fidélité
9. Titre ou salutation (par exemple, Mme, M.)
10. Crédits de statut et de niveau de voyageur fréquent
11. Numéros de téléphone (principal, alternatif, domicile, professionnel, mobile)
12. Adresses e-mail (principale, alternative, professionnelle, personnelle)
13. Horodatages de création et de modification de compte
14. Détails de l'adresse postale (ville, code postal, latitude, longitude, etc.)
15. Numéros d'identification de compte ou de client (identifiants internes Salesforce et Qantas)
16. Préférences de profil (par exemple, repas, siège, préférences marketing, newsletters)
17. Détails d'adhésion et de fidélité (niveau bronze, expiration, crédits de statut jusqu'au niveau suivant)
18. Champs CRM internes (OwnerId, RecordTypeId, CreatedBy, etc.)
19. Liens vers des rapports et modèles internes (par exemple, « Rapport sur les voyageurs fréquents QCC », « Rapport sur les salons QCC »)
20. Champs de notes et remarques du client
21. Données de géolocalisation (latitude et longitude de l'adresse postale)
22. Métadonnées de suivi des activités et des contacts (dernière modification, dernière consultation, etc.)
23. Drapeaux internes et indicateurs d'état (HasOptedOutOfEmail, DoNotCall, Active, Sensitive_Contact, etc.)

Il convient de noter qu'en juillet 2025, la société a confirmé une violation de données majeure liée à un fournisseur tiers, mais n'a pas divulgué son nom à l'époque.

Le jeu de données de Vietnam Airlines serait de 63,62 Go, également au format JSON, avec plus de 23 millions d'enregistrements. Comme les autres, il a été rendu public le 10 octobre 2025. Si cette fuite est authentique, elle représente l'une des plus importantes attribuées à cette série de violations.

Ces enregistrements contiennent des informations personnelles identifiables (IPI) et des données de compte d'entreprise, ainsi que des champs CRM internes aux compagnies aériennes et des identifiants de programmes de fidélité tels que le numéro de voyageur fréquent. Voici la liste des types de données contenus dans l'enregistrement de Vietnam Airlines :

1. Âge
2. Genre
3. Nom et prénom
4. Numéro de téléphone
5. Monnaie utilisée
6. Adresse email
7. Numéro de voyageur fréquent
8. Date de naissance et année de naissance
9. Propriétaire et métadonnées du système
10. ID de compte et de contact internes
11. Domaines liés aux affaires ou au fret
12. Type de compte et classification des enregistrements
13. Informations sur le rôle de l'entreprise ou de l'entreprise
14. Champs d'informations sur les sociétés et les impôts
15. Champs de courrier électronique et de téléphone liés à l'entreprise
16. Derniers champs de suivi de voyage et liés au voyage
17. Champs pays et ville (bien que certains soient vides)
18. Adresse résidentielle (rue et détails partiels de localisation)

La fuite associée à Albertsons Companies, Inc. est relativement plus petite, totalisant 2 Go de fichiers JSON. Selon la liste, elle contient plus de 672 000 enregistrements. Les données ont été publiées le 10 octobre 2025 et sont considérées comme publiques.

L'ensemble de données lié à GAP, INC., d'une taille de 1 Go, est formaté en JSON et contiendrait plus de 224 000 enregistrements. Les informations ont été mises en ligne le 10 octobre 2025, avec un statut public, suggérant qu'elles sont accessibles à tous via le portail de fuite.

La fuite de données Fujifilm semble plus modeste en comparaison, avec 155 Mo et un format CSV. Malgré sa taille réduite, l'ensemble de données comprendrait tout de même environ 224 000 enregistrements. Il a également été rendu public le 10 octobre 2025.

L'ensemble de données d'Engie Resources mesure 3 Go et est au format JSON. Il comprendrait plus de 537 000 enregistrements, publiés publiquement le 10 octobre 2025.

La liste complète des 39 entreprises identifiées comme victimes de la prétendue violation de données de Salesforce :

1. KFC – 1,3 Go
2. ASICS – 9 Go
3. UPS – 91,34 Go
4. IKEA – 13 Go
5. GAP, INC. – 1 Go
6. Petco – 9,9 Go
7. Cisco – 5,6 Go
8. McDonald's – 28 Go
9. Cartier – 1,4 Go
10. Adidas – 37 Go
11. Fujifilm – 155 Mo
12. Instacart – 32 Go
13. Marriott – 7 Go
14. Walgreens – 11 Go
15. Pandoranet – 8,3 Go
16. Chanel – 2 Go
17. CarMax – 1,7 Go
18. Disney/Hulu – 36 Go
19. TransUnion – 22 Go
20. Aeroméxico – 172,95 Go
21. Toyota Motor Corporation – 64 Go
22. Stellantis – 59 Go
23. Republic Services – 42 Go
24. TripleA (aaacom) – 23 Go
25. Saks Fifth – 1,1 Go
26. Albertsons (Jewel Osco, etc.) – 2 Go
27. Engie Resources (Plymouth) – 3 Go
28. 1-800Comptable – 18 Go
29. HMH (hmhcocom) – 88 Go
30. Instructurecom – Canvas – 35 Go
31. Google Adsense – 19 Go
32. HBO Max – 3,2 Go
33. FedEx – 1,1 To
34. Qantas Airways – 153 Go
35. Vietnam Airlines – 63,62 Go
36. Air France et KLM – 51 Go
37. Home Depot – 19,43 Go
38. Kering (Gucci, Balenciaga, Brioni, Alex McQ) – 10 Go

Alors que davantage de données étaient initialement attendues, les pirates ont annoncé sur Telegram qu'ils ne divulgueraient aucune information supplémentaire, déclarant : « Beaucoup se demandent ce qui sera divulgué d'autre. Rien d'autre ne sera divulgué. Tout ce qui a été divulgué l'a été, nous n'avons rien d'autre à divulguer et, bien sûr, ce que nous avons ne peut pas être divulgué pour des raisons évidentes. » Cette déclaration laisse planer l'incertitude sur l'avenir des données restantes.

Cependant, les fuites d'informations sont déjà suffisamment préjudiciables. Si elles se confirment, la divulgation de ces bases de données pourrait avoir de graves conséquences dans plusieurs secteurs. Les compagnies aériennes, les détaillants et les entreprises énergétiques stockent d'importants volumes d'informations sensibles sur leurs clients et leurs entreprises, notamment des données personnelles, des coordonnées et des dossiers internes.

L'exposition de telles données expose les personnes concernées à un risque d'usurpation d'identité et de fraude, tout en risquant d'endommager la réputation et les finances des entreprises concernées. Ces fuites étant liées à des allégations antérieures concernant une vulnérabilité de Salesforce , l'incident soulève également des questions sur les pratiques de sécurité des plateformes tierces qui gèrent et stockent des données aussi volumineuses.