Une fuite de données attribuée à EVA.gg a été revendiquée le 16 juillet 2026. L’auteur affirme avoir récupéré la base complète de la plateforme, avec 70 424 comptes utilisateurs et environ 119 361 réservations.
EVA.gg est une plateforme française spécialisée dans les expériences de réalité virtuelle compétitives, avec des arènes réparties sur plusieurs sites en France. À ce stade, l’incident reste une revendication non confirmée officiellement.

Une API GraphQL au cœur de la revendication
Selon l’auteur, l’accès aux données aurait été obtenu en analysant les requêtes utilisées par l’interface d’administration d’EVA.gg. L’API GraphQL aurait ensuite été explorée afin d’identifier les requêtes réellement exploitables en production.
L’introspection GraphQL étant désactivée, l’auteur affirme avoir reconstruit une partie du schéma en étudiant les fichiers JavaScript du tableau de bord administrateur. Environ 140 requêtes et 98 mutations auraient ainsi été identifiées.
70 424 profils utilisateurs revendiqués
Le fichier principal contiendrait les profils complets des utilisateurs de la plateforme. Les données potentiellement exposées comprennent :
- identifiant utilisateur ;
- nom d’utilisateur ;
- nom affiché ;
- nom complet ;
- prénom et nom ;
- adresse email ;
- statut de confirmation de l’email ;
- numéro de téléphone ;
- date de naissance ;
- genre ;
- adresse postale ;
- ville, code postal et pays ;
- langue ;
- préférence newsletter ;
- code de parrainage ;
- informations liées au Battle Pass ;
- droits ou capacités associés au compte.
Aucun mot de passe en clair n’est mentionné dans les éléments fournis. La présence d’un indicateur indiquant si un mot de passe est configuré ne permet pas, à elle seule, d’accéder au compte.
119 361 réservations et sessions de jeu exposées
Un second fichier contiendrait les réservations effectuées via la plateforme. Ces données peuvent révéler les habitudes de fréquentation des joueurs, les arènes utilisées et les créneaux réservés.
Les réservations revendiquées peuvent contenir :
- identifiant de réservation ;
- statut de la réservation ;
- lieu et arène concernés ;
- jeu réservé ;
- nombre de places ;
- date et heure du créneau ;
- statut terminé, annulé ou replanifiable ;
- identifiant de commande ;
- informations du joueur associé ;
- liens de session ou de partage ;
- données de groupe de réservation.
La présence de liens de session ou de partage est un point sensible si certains jetons restent valides. Ils pourraient permettre d’accéder à des pages liées à une réservation ou de consulter des informations associées à un groupe de joueurs.
Des données internes sur l’activité d’EVA
La revendication mentionne également des informations sur l’écosystème interne de la plateforme : 63 lieux en France, 99 vendeurs, 764 produits, 10 jeux, des collections de boutique, des saisons, des scores et des exports CSV natifs.
Ces éléments peuvent révéler une partie du fonctionnement commercial et opérationnel d’EVA.gg : catalogue, points de vente, revenus par localisation, organisation des sessions et statistiques de jeu.
Un risque autour des droits associés aux comptes
Les exemples publiés affichent des capacités associées aux comptes utilisateurs, comme la lecture, la mise à jour de détails ou la création de commande pour un utilisateur. Il ne s’agit pas nécessairement de droits administrateur, mais ces informations permettent de comprendre une partie du modèle d’autorisation de la plateforme.
Si des permissions trop larges étaient accessibles depuis l’API, le risque pourrait dépasser la simple consultation de données. Cette hypothèse doit toutefois être confirmée par une analyse technique officielle.
Comment l’incident aurait-il pu se produire ?
Le scénario décrit repose sur une mauvaise protection des appels GraphQL utilisés par l’administration. Même lorsque l’introspection est désactivée, les requêtes présentes dans le code côté client peuvent parfois révéler une partie importante des opérations disponibles.
Si les contrôles d’autorisation ne sont pas suffisamment stricts côté serveur, un attaquant peut réutiliser ces requêtes pour accéder à des données qui ne devraient pas être exposées.
Des risques de phishing ciblé contre les joueurs
Les données exposées peuvent être utilisées pour envoyer des messages frauduleux au nom d’EVA.gg ou d’une arène locale.
Les scénarios possibles incluent :
- fausse confirmation de réservation ;
- faux remboursement ;
- fausse offre Battle Pass ;
- faux code de parrainage ;
- fausse annulation de session ;
- faux problème de paiement ;
- demande frauduleuse de mise à jour du compte ;
- tentative de récupération d’identifiants.
Les habitudes de loisirs peuvent devenir sensibles
La fuite ne concerne pas seulement des coordonnées. Les réservations peuvent révéler les habitudes de sortie, les horaires, les lieux fréquentés et les personnes associées à certaines sessions.
Pour des joueurs réguliers, ces données peuvent permettre de reconstituer une partie de leur activité dans les arènes EVA.gg et de les cibler avec des messages très personnalisés.
Une revendication encore à confirmer
Le volume annoncé, l’origine exacte de l’accès et le périmètre complet des données doivent encore être confirmés. Aucune confirmation officielle d’EVA.gg n’est disponible à ce stade.
Si la revendication est authentique, l’incident serait important : il associerait des profils utilisateurs complets, des réservations, des informations commerciales internes et des éléments techniques liés à l’API de la plateforme.