La série noire des cyberattaques dans le tourisme par ChimeraZ continue avec l’association Avea Vacances, spécialisée dans les colonies de vacances et séjours éducatifs pour enfants et adolescents, apparaît dans une importante fuite de données publiée sur un forum cybercriminel.
L’organisation, historiquement liée au secteur des activités sociales des postiers, propose des séjours thématiques et centres de vacances partout en France.
Plus de 46 000 documents et enregistrements exposés
Selon les attaquants, la fuite regrouperait plusieurs bases de données et documents internes issus des plateformes avea-vacances.fr et abv.avea.asso.fr.
Au total, près de 46 000 enregistrements seraient concernés pour un volume annoncé de 128 Mo.
Des documents administratifs et de réservation
Le fichier principal « 20K-documents.json » contiendrait plus de 20 000 documents liés à l’organisation des séjours.
Les exemples publiés montrent notamment :
- factures de location de véhicules ;
- références de contrats ;
- coordonnées d’Avea Séjours ;
- périodes de réservation ;
- documents comptables et logistiques.
18 000 données liées à des postiers et CSE
Une autre base nommée « 18K-Postiers-CSE.json » contiendrait plus de 18 000 lignes avec des informations associées à des salariés et structures de La Poste.
Les champs visibles incluent :
- identifiants internes ;
- dates de naissance ;
- établissements de rattachement.
Des factures et données comptables internes
Les cybercriminels évoquent également plus de 6 000 factures internes contenant :
- montants TTC ;
- modes de paiement ;
- budgets et pôles d’activité ;
- dates de paiement ;
- statuts comptables.
Des documents de comptabilité détaillés liés à certains séjours et centres de vacances sont également visibles dans les aperçus publiés.
Une fuite sensible pour une structure accueillant des mineurs
Bien que les exemples publiés semblent principalement concerner des données administratives et comptables, ce type de plateforme peut également centraliser des informations sensibles liées à l’organisation des séjours, aux familles, aux encadrants et aux réservations.
À ce stade, les circonstances exactes de la compromission et l’authenticité complète des données n’ont pas été confirmées publiquement par Avea Vacances.