Une base de données attribuée à hpaguide.fr circule actuellement sur un forum cybercriminel. Le site, spécialisé dans l’hôtellerie de plein air, référence de nombreux campings et établissements touristiques en France.
Selon le communiqué publié par hpaguide.fr, l’incident concerne environ 3 200 comptes professionnels de gestionnaires de campings. Les données exposées se limitent à des coordonnées professionnelles.
Des coordonnées professionnelles de gestionnaires de campings exposées
Les informations concernées sont exclusivement des coordonnées professionnelles de gestionnaires, directeurs ou responsables d’établissements référencés sur hpaguide.fr.
- Nom et prénom
- Adresse e-mail professionnelle
- Numéro de téléphone fixe
- Numéro de téléphone mobile
HPAGUIDE.FR précise que les visiteurs du site public et les campeurs ne sont pas concernés. Aucune donnée liée à des réservations de vacanciers n’est mentionnée dans le communiqué.
Aucune donnée bancaire ni mot de passe exposé
Dans son communiqué officiel, hpaguide.fr indique qu’aucune donnée bancaire n’est concernée, le site ne stockant pas de coordonnées de paiement dans la base affectée.
Le site précise également que les mots de passe ne font pas partie des données exposées. Par mesure de précaution, les mots de passe des comptes concernés ont toutefois été réinitialisés.
Une faille de type IDOR corrigée le 27 mai 2026
HPAGUIDE.FR explique qu’un cybercriminel aurait exploité une vulnérabilité dans l’espace professionnel du site. Une fois connecté avec un compte valide, il pouvait accéder à des fiches d’autres utilisateurs sans autorisation.
Cette vulnérabilité, connue sous le nom d’IDOR pour « Insecure Direct Object Reference », a été corrigée le 27 mai 2026, le jour même de la détection de l’incident selon hpaguide.fr.
Une partie des données déjà publiques
hpaguide.fr souligne par ailleurs qu’une partie importante des informations diffusées est déjà accessible publiquement, notamment via des jeux de données disponibles sur Data.gouv.fr, dont ceux d’Atout France, ainsi que dans le registre national des entreprises.
Un risque de phishing ciblé
Même si les données exposées semblent limitées à des coordonnées professionnelles, elles peuvent être utilisées pour mener des campagnes de phishing ciblées contre des gestionnaires de campings.
Les personnes concernées doivent notamment se méfier des e-mails ou appels se faisant passer pour HPAGUIDE.FR, des partenaires professionnels, des institutions officielles ou des prestataires du secteur touristique.
hpaguide.fr dit avoir renforcé sa sécurité
hpaguide.fr indique avoir corrigé la vulnérabilité, audité ses journaux de connexion, renforcé les contrôles d’autorisation de son espace professionnel et notifié l’incident à la CNIL conformément au RGPD.
Le communiqué officiel de hpaguide.fr est disponible ici.