Un hacker se présentant sous le pseudonyme lowiq affirme mettre en vente une base de données attribuée à i-run.fr, contenant environ 1 223 520 lignes. La date de la fuite évoquée serait le 11 avril 2026.
i-Run est un site e-commerce français spécialisé dans la vente d’équipements de running, trail et sports d’endurance, avec une base de clients importante en France.
Après vérifications approfondies menées par l’entreprise à la suite de notre publication, les éléments analysés indiquent que les données revendiquées ne proviennent pas des systèmes d’i-Run.
Contacté, i-Run indique avoir immédiatement lancé des vérifications internes après la découverte de cette revendication publiée sur un forum cybercriminel.
Selon l’entreprise, l’analyse des logs n’a révélé aucun accès ou trafic suspect vers ses bases de données. Après étude de l’échantillon diffusé par le hacker, seulement environ 3 % des contacts présenteraient une correspondance partielle avec leurs données réelles, avec des incohérences relevées sur les adresses, codes postaux, villes ou numéros de téléphone.
La société précise également qu’elle ne collecte pas de date de naissance dans ses systèmes, alors que ce champ apparaît dans les données revendiquées. i-Run affirme donc sans ambiguïté que les données diffusées ne proviennent pas de ses infrastructures.
Une base revendiquée sur un forum cybercriminel
La base est proposée à la vente pour environ 400 dollars, accompagnée d’un échantillon accessible publiquement. Les données apparaissent sous forme de lignes structurées, typiques d’un export de base clients.
L’échantillon partagé contient notamment des noms, adresses email, numéros de téléphone et informations postales. Certaines lignes incluent également une date de naissance, un élément incompatible avec les données réellement collectées par i-Run selon l’entreprise.
Des données qui ne proviendraient pas d’i-Run
Les analyses menées par l’entreprise n’ont permis d’identifier aucun signe de compromission de ses systèmes. Les incohérences relevées dans l’échantillon, combinées à l’absence de correspondance fiable avec les données réelles de l’entreprise, indiquent que la base revendiquée ne provient pas d’i-Run.
Plusieurs champs présents dans les données diffusées seraient incompatibles avec les informations réellement stockées par la société, renforçant l’hypothèse d’une base recomposée ou attribuée à tort.
Quels risques malgré tout ?
Même lorsqu’une revendication s’avère inexacte ou trompeuse, ce type de publication peut être utilisé pour alimenter des campagnes de phishing ou d’escroqueries ciblées.
Les principaux risques potentiels incluent :
- Phishing au nom d’i-Run ou de transporteurs
- Arnaques à la livraison ou au colis
- Spam massif
- Réutilisation de données issues d’anciennes bases déjà compromises ailleurs
- Campagnes d’escroqueries personnalisées