Une fuite de données attribuée à DoinSport a été revendiquée le 14 juillet 2026. L’auteur affirme avoir récupéré une partie d’une base contenant des informations personnelles sur des utilisateurs rattachés à différents clubs sportifs.
Le volume total n’a pas été communiqué. La base est présentée comme partielle, l’auteur affirmant que son extraction aurait été interrompue avant d’être terminée. À ce stade, l’incident n’est pas confirmé officiellement.

Identité, coordonnées et adresses personnelles exposées
Les échantillons publiés montrent des fiches utilisateurs particulièrement détaillées. Les informations potentiellement concernées comprennent :
- nom complet ;
- adresse email ;
- numéro de téléphone ;
- date de naissance ;
- nom d’utilisateur ;
- adresse postale ;
- ville ;
- code postal ;
- type de compte ;
- identifiant interne ;
- club de rattachement ;
- solde du portefeuille utilisateur ;
- référence client Stripe dans certains profils.
Aucun mot de passe ni numéro complet de carte bancaire n’est mentionné dans les éléments diffusés.
Des profils de mineurs apparaissent dans les données
Plusieurs dates de naissance visibles dans l’échantillon correspondent à des personnes mineures. Certaines fiches associent une identité, une date de naissance, un numéro de téléphone et une adresse postale.
La présence de données concernant des enfants et adolescents augmente la sensibilité de l’incident. Le nombre exact de mineurs potentiellement concernés reste inconnu.
Des comptes reliés à des clubs sportifs
Chaque fiche semble contenir une référence vers un club. Cette information peut permettre de relier une personne à une structure sportive précise et de cartographier une partie des utilisateurs de la plateforme.
Le croisement entre le club, l’identité, les coordonnées et la date de naissance peut faciliter la création de messages frauduleux particulièrement crédibles.
Des soldes de portefeuille et références Stripe
Les profils comprennent également un champ lié au solde du portefeuille. Les échantillons publiés affichent principalement des soldes nuls, mais le contenu complet de la base n’est pas connu.
Certains comptes possèdent aussi une référence client Stripe. Cet identifiant technique ne constitue pas une donnée bancaire complète et ne permet pas, à lui seul, d’effectuer un paiement.
Une extraction interrompue selon l’auteur
L’auteur affirme avoir été bloqué pendant la récupération des données. Aucun détail technique n’est fourni sur la méthode utilisée pour accéder aux profils.
Il est donc impossible de déterminer si l’incident provient d’une faille dans une API, d’un défaut de contrôle d’accès, d’un compte compromis ou d’une autre faiblesse technique.
Des risques de phishing ciblé
Les informations revendiquées peuvent être exploitées pour envoyer de faux messages au nom d’un club ou d’un service sportif.
Les scénarios possibles incluent :
- fausse réservation d’une activité ;
- faux renouvellement d’abonnement ;
- fausse demande de paiement ;
- faux remboursement ;
- fausse mise à jour du compte ;
- message frauduleux envoyé au nom du club ;
- tentative de récupération d’identifiants.
Un risque accru pour les mineurs et leurs familles
La connaissance du nom, de l’âge, de l’adresse et du club fréquenté peut être utilisée pour cibler les familles avec des messages liés à une inscription, un entraînement, un paiement ou une activité sportive.
Les parents doivent rester vigilants face aux sollicitations demandant des coordonnées bancaires, un paiement urgent ou une nouvelle connexion à un espace présenté comme celui du club.
Une revendication encore à confirmer
Le nombre de personnes concernées, la période couverte et l’origine exacte de l’extraction ne sont pas connus. La base ayant été présentée comme partielle, son périmètre réel reste difficile à évaluer.
Si les données sont authentiques, l’incident exposerait des informations personnelles détaillées sur des utilisateurs de clubs sportifs, dont certains mineurs, avec des coordonnées complètes et des références liées à leur compte.