Un acteur utilisant le pseudonyme Shabat affirme détenir et commercialiser une base de données attribuée à Iron Bodyfit, l’enseigne spécialisée dans l’électrostimulation présente dans plusieurs pays, dont la France, la Belgique, la Suisse, le Canada et l’Espagne.
Selon la revendication publiée sur un forum cybercriminel, la base contiendrait les informations de plus de 382 000 clients issus de l’ensemble du réseau Iron Bodyfit. Les échantillons diffusés montrent des profils détaillés associant données personnelles, informations contractuelles et éléments liés au suivi des adhérents.
Des données clients particulièrement détaillées
Les enregistrements publiés vont bien au-delà de simples coordonnées de contact. Chaque fiche semble regrouper l’ensemble des informations utilisées pour gérer les adhérents au sein du réseau.
- nom et prénom ;
- date de naissance ;
- genre ;
- adresse postale complète ;
- adresse e-mail ;
- numéro de téléphone ;
- langue utilisée ;
- statut du compte ;
- date de création du profil.
Des informations sur les abonnements
Les échantillons montrent également la présence de nombreuses données liées aux contrats souscrits par les adhérents.
- identifiant de contrat ;
- type d’abonnement ;
- date de début et de fin ;
- montant mensuel ;
- prix total du contrat ;
- statut de l’abonnement ;
- prochaine échéance de paiement.
Ces informations permettent de reconstituer avec précision l’historique commercial d’un client ainsi que sa relation avec l’enseigne.
Des données liées à la santé apparaissent dans la base
Le point le plus sensible de cette revendication concerne la présence de champs relatifs à l’état de santé des adhérents. Les données publiées indiquent notamment l’existence de rubriques dédiées aux allergies, aux maladies déclarées et aux traitements médicamenteux.
Les échantillons visibles contiennent principalement des indicateurs booléens (« oui » ou « non »), mais la structure de la base laisse penser que des informations médicales ou para-médicales peuvent être associées à certains profils dans le cadre des activités d’électrostimulation proposées par l’enseigne.
Un réseau international concerné
Les exemples publiés montrent des clients localisés dans plusieurs pays, notamment en France et au Canada. Les fiches contiennent également des informations sur les centres Iron Bodyfit fréquentés par les adhérents, avec le nom de la salle, son adresse et son fuseau horaire.
La revendication affirme que l’ensemble du réseau serait concerné, même si cette affirmation ne peut être vérifiée de manière indépendante à ce stade.
Quels risques pour les personnes concernées ?
Une telle base présente une valeur importante pour les cybercriminels en raison de la combinaison entre données personnelles, informations commerciales et éventuels éléments liés à la santé. Ces informations peuvent être utilisées dans des campagnes de phishing ciblées, des tentatives d’usurpation d’identité ou des opérations d’ingénierie sociale particulièrement crédibles.
La présence d’informations relatives aux abonnements et aux paiements pourrait également être exploitée pour créer de faux messages de renouvellement, de facturation ou de prélèvement destinés aux adhérents.
Une revendication qui reste à confirmer
Les échantillons diffusés montrent des données cohérentes avec l’activité d’Iron Bodyfit. Toutefois, le volume exact des informations concernées ainsi que l’origine de cette éventuelle fuite n’ont pas été confirmés de manière indépendante.
Aucune communication officielle d’Iron Bodyfit concernant cette revendication n’a été identifiée au moment de la publication.