Attaque

KeepCool : 287 842 fiches d’adhérents en fuite après une faille

Une fuite de données attribuée à KeepCool a été revendiquée sur un forum cybercriminel le 11 juillet 2026. L’auteur affirme diffuser un export partiel contenant 287 842 fiches d’adhérents, extrait en février 2026.

Les données revendiquées comprennent des informations d’identité, des coordonnées, des détails d’abonnement ainsi que le club fréquenté et la date du dernier passage en salle. À ce stade, il s’agit d’une revendication non confirmée officiellement.

KeepCool cyberattaque

Près de 288 000 fiches de membres revendiquées

Le fichier serait proposé au format JSON et regrouperait des adhérents actuels comme d’anciens membres. L’échantillon publié montre notamment des profils dont l’abonnement est résilié, ce qui suggère la présence de données historiques.

Les 287 842 lignes sont présentées comme des fiches de membres, mais le nombre exact de personnes uniques devra être confirmé.

Quelles données seraient exposées ?

Les informations mentionnées dans la revendication comprennent notamment :

  • nom et prénom ;
  • adresse email ;
  • numéro de téléphone ;
  • date de naissance ;
  • genre ;
  • numéro d’adhérent ;
  • club de rattachement ;
  • formule d’abonnement ;
  • statut de l’abonnement ;
  • date d’inscription ;
  • niveau ou ancienneté de fidélité ;
  • date et heure du dernier passage en salle ;
  • référence vers une photo de profil dans certains dossiers.

Aucun mot de passe ni donnée bancaire n’est mentionné dans les éléments publiés.

Des identifiants administrateurs intégrés dans l’application

L’auteur affirme avoir découvert des identifiants administrateurs codés en dur dans une application KeepCool. Ces informations lui auraient permis d’obtenir un jeton d’authentification JWT et d’accéder à l’API.

Le stockage d’identifiants sensibles directement dans le code d’une application constitue une mauvaise pratique importante. Lorsqu’une application peut être téléchargée ou analysée, ces secrets peuvent être récupérés puis utilisés pour tenter d’accéder aux services associés.

Une faille BOLA aurait permis d’énumérer les adhérents

Après l’obtention d’un accès à l’API, l’auteur affirme avoir exploité une vulnérabilité de type BOLA, pour Broken Object Level Authorization.

Ce défaut apparaît lorsqu’une API ne vérifie pas correctement qu’un utilisateur est autorisé à consulter un objet précis. En modifiant un identifiant, un attaquant peut alors accéder successivement aux fiches d’autres utilisateurs.

Selon la revendication, cette faiblesse aurait permis d’automatiser l’énumération et l’extraction de centaines de milliers de profils d’adhérents.

L’historique de fréquentation augmente la sensibilité de la fuite

La présence du club fréquenté et de la date du dernier passage ne relève pas d’une simple information de contact. Ces données peuvent révéler les habitudes sportives, la localisation régulière et parfois les périodes de fréquentation d’une personne.

Associées au nom, au téléphone et à la date de naissance, elles peuvent servir à créer des profils détaillés et à cibler les adhérents avec des messages très personnalisés.

Des risques de phishing au nom de KeepCool

Les données revendiquées peuvent être utilisées dans des campagnes de phishing liées aux abonnements ou aux clubs de sport.

Les scénarios possibles incluent :

  • faux renouvellement d’abonnement ;
  • fausse régularisation de paiement ;
  • faux remboursement ;
  • fausse offre promotionnelle ;
  • fausse mise à jour du compte membre ;
  • faux message envoyé au nom du club habituel ;
  • tentative de récupération d’identifiants ou de coordonnées bancaires.

Des profils anciens toujours présents

L’échantillon publié montre la présence de données remontant à plusieurs années. Certains profils semblent correspondre à d’anciens adhérents dont l’abonnement a déjà été résilié.

Cette conservation historique peut élargir le nombre de personnes concernées au-delà des seuls membres actuellement inscrits dans une salle KeepCool.

Une revendication à confirmer officiellement

L’auteur affirme avoir alerté KeepCool avant la publication et reproche à l’enseigne de ne pas avoir répondu ni déclaré l’incident. Ces affirmations ne sont pas confirmées à ce stade.

Le volume réel, la période complète couverte par le fichier et l’origine technique exacte de l’accès devront être établis par une enquête. Il reste également à déterminer si les vulnérabilités revendiquées ont été corrigées.

Que doivent surveiller les adhérents ?

Les membres actuels et anciens doivent rester vigilants face aux emails, SMS ou appels mentionnant leur club, leur formule d’abonnement ou leur numéro d’adhérent.

Toute demande de paiement, de mot de passe ou de coordonnées bancaires doit être vérifiée directement auprès du club ou depuis les canaux officiels de KeepCool.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires