Une fuite de données attribuée à Betrail.run a été revendiquée le 13 juillet 2026. L’auteur affirme diffuser une base partielle contenant 2 831 633 profils de coureurs, ainsi que des fichiers comprenant environ 1 500 factures Stripe et plusieurs comptes disposant de rôles internes.
La majorité des données sur les coureurs serait issue d’informations publiques présentes sur la plateforme. D’autres fichiers semblent toutefois contenir des données privées liées aux abonnements, à la facturation et aux comptes utilisateurs.

Plus de 2,8 millions de profils de traileurs regroupés
Betrail.run permet aux amateurs de trail de découvrir des courses, consulter des résultats, suivre leurs performances et comparer leurs classements.
Le principal fichier revendiqué contiendrait 2 831 645 lignes pour 2 831 633 personnes. Il serait proposé au format JSONL et représenterait environ 537 Mo.
Les informations associées aux profils comprennent notamment :
- nom et prénom ;
- pseudonyme ;
- genre ;
- âge ;
- code postal ;
- ville ;
- pays ;
- date de création du profil ;
- identifiant interne.
Près d’un million de profils français
La France serait le pays le plus représenté dans la base avec environ 954 000 profils. La Belgique arriverait ensuite avec près de 136 000 coureurs, devant l’Espagne, les États-Unis, l’Italie et la Suisse.
Les données revendiquées couvriraient également des utilisateurs situés en Allemagne, aux Pays-Bas, en Australie, au Canada, au Royaume-Uni et dans plusieurs autres pays.
Des données publiques aspirées et regroupées à grande échelle
L’auteur précise que le fichier principal contient des informations publiques sur les coureurs. Aucun piratage n’est donc nécessairement démontré pour cette partie : les profils pourraient avoir été collectés automatiquement depuis les pages ou interfaces accessibles de Betrail.run.
Le regroupement massif change toutefois la portée de ces informations. Des millions de profils dispersés deviennent consultables dans un fichier unique, facilitant les recherches par nom, ville, âge ou pays.
Environ 1 500 factures Stripe également revendiquées
Un second fichier contiendrait environ 1 500 factures liées aux abonnements Betrail Premium. Les données observées semblent provenir d’informations de facturation générées par Stripe.
Ces enregistrements peuvent notamment comprendre :
- nom du client ;
- adresse email ;
- identifiant client Stripe ;
- identifiant d’abonnement ;
- montant payé ;
- devise ;
- statut de la facture ;
- date de souscription ;
- période d’abonnement ;
- références internes de facturation ;
- liens vers des factures hébergées.
Aucun numéro complet de carte bancaire n’apparaît dans les éléments publiés. Les informations de facturation restent néanmoins privées et peuvent être exploitées pour cibler les abonnés payants.
Des comptes internes et leurs rôles dans un autre fichier
Un troisième ensemble contiendrait 241 comptes utilisateurs associés à des rôles et à des identifiants internes. Les fiches peuvent inclure un nom, une adresse email, une langue, une date de création, une dernière date d’accès et les rôles attribués au compte.
La présence de ces données pourrait révéler l’organisation des droits au sein de la plateforme. Elle ne permet toutefois pas, à elle seule, de confirmer qu’un accès administrateur a été obtenu.
Comment ces fichiers ont-ils pu être récupérés ?
La méthode d’extraction n’est pas détaillée. Le fichier de profils pourrait résulter d’un scraping de données publiques, tandis que les factures Stripe et les informations liées aux rôles semblent provenir d’un périmètre non public.
Plusieurs scénarios restent possibles : une API insuffisamment protégée, un défaut de contrôle d’accès, une sauvegarde exposée ou la compromission d’un compte disposant de droits étendus.
Des risques de phishing ciblé contre les coureurs
Les données publiques peuvent être utilisées pour envoyer des messages personnalisés autour du trail, des résultats sportifs ou des abonnements premium.
Les scénarios possibles incluent :
- fausse notification de résultat ;
- fausse inscription à une course ;
- faux renouvellement Betrail Premium ;
- faux remboursement d’abonnement ;
- fausse facture ;
- faux classement ou profil à vérifier ;
- tentative de récupération d’identifiants.
La localisation des sportifs augmente les risques
La combinaison entre le nom, l’âge, la ville et le code postal peut faciliter l’identification et le recoupement d’un coureur avec ses autres comptes en ligne.
Pour les profils très actifs ou connus localement, ces informations peuvent également favoriser le harcèlement, le démarchage ciblé ou la création de faux comptes utilisant leur identité sportive.
Une revendication à confirmer officiellement
Le volume annoncé, l’origine des fichiers privés et le périmètre exact de l’incident restent à confirmer. Les 2,8 millions de profils semblent principalement correspondre à des données publiques, mais les factures et informations internes soulèvent des questions sur un accès potentiellement plus large.
Si l’ensemble est authentique, l’incident associerait une collecte massive de profils sportifs à l’exposition de données de facturation concernant des abonnés Betrail Premium.