Attaque

Mille et Une Listes : 214 527 comptes en fuite après une faille de sécurité

Une fuite de données attribuée à Mille et Une Listes, plateforme française de listes de mariage et de cagnottes développée en partenariat avec Galeries Lafayette, a été revendiquée sur un forum cybercriminel le 7 juillet 2026.

L’auteur affirme partager un dump SQL daté du 31 mars 2026, contenant l’export complet de la table users avec 214 527 enregistrements. À ce stade, cette fuite reste une revendication non confirmée officiellement.

Mille et une listes cyberattaque

214 527 comptes utilisateurs revendiqués

La base revendiquée concernerait les utilisateurs de Mille et Une Listes, un service utilisé pour organiser des listes de mariage, anniversaires, cagnottes ou événements avec participation financière.

Les données citées dans la publication dépassent une simple liste d’emails. L’auteur mentionne des profils utilisateurs, coordonnées, dates de naissance, adresses, rôles, métadonnées de compte, indicateurs KYC, références bancaires et informations liées aux cagnottes.

Une faille de permissions internes revendiquée

Selon la revendication, l’accès aurait commencé avec un compte à faibles privilèges. L’auteur affirme ensuite avoir pu escalader ses droits à cause d’une mauvaise séparation des rôles et de permissions internes mal configurées.

En clair, certaines ressources d’administration auraient été accessibles à des comptes qui n’auraient jamais dû pouvoir les consulter. Si ce scénario est exact, il s’agirait d’un défaut critique de contrôle d’accès, permettant d’atteindre des données sensibles sans disposer initialement d’un compte administrateur complet.

Profils, KYC, cagnottes et références bancaires

Les champs revendiqués montrent une base très orientée compte utilisateur et gestion de cagnottes. Les informations potentiellement exposées comprennent notamment :

  • nom et prénom ;
  • adresse email ;
  • numéro de téléphone ;
  • date de naissance ;
  • adresse postale ;
  • rôles du compte ;
  • dates de création et de mise à jour ;
  • métadonnées de compte ;
  • indicateurs KYC ;
  • références bancaires ;
  • informations de cagnottes ;
  • références d’événements ;
  • dates d’événements ;
  • statuts, plafonds, frais et paramètres de visibilité.

L’échantillon publié montre aussi que plusieurs cagnottes peuvent être associées à un même utilisateur, avec des informations sur l’organisateur, le nom de l’événement, la date, le statut, les options de confidentialité et certains paramètres financiers.

Une fuite sensible par la nature des événements

Les données liées à des listes de mariage, anniversaires ou cagnottes sont particulièrement exploitables. Elles révèlent non seulement des coordonnées personnelles, mais aussi des événements privés, des relations entre organisateurs et bénéficiaires, des dates importantes et parfois des informations de paiement.

Un cybercriminel peut utiliser ces éléments pour créer des messages très crédibles : fausse participation à une cagnotte, faux remboursement, problème de virement, demande de vérification KYC, faux lien de paiement ou fausse notification Galeries Lafayette.

Des risques de fraude et d’usurpation

Le principal risque concerne le phishing ciblé. Un attaquant peut mentionner un vrai événement, une vraie cagnotte, une date réelle ou un rôle d’organisateur pour pousser une victime à cliquer sur un faux lien ou à transmettre des informations sensibles.

La présence revendiquée de références bancaires et d’indicateurs KYC augmente aussi le risque de fraude. Même si la revendication ne mentionne pas de données bancaires complètes, ces éléments peuvent aider à construire des scénarios d’escroquerie autour d’un paiement, d’un retrait de cagnotte ou d’une vérification d’identité.

Galeries Lafayette indirectement exposé par l’image de marque

La revendication associe Mille et Une Listes à son partenariat avec Galeries Lafayette. Cela peut être utilisé par des cybercriminels pour renforcer la crédibilité de futures campagnes frauduleuses, notamment en usurpant l’identité du service, de la plateforme ou de l’enseigne partenaire.

Les utilisateurs doivent donc rester prudents face aux emails ou SMS évoquant une liste, une cagnotte, un cadeau, un remboursement, une validation d’identité ou un paiement à finaliser.

Une fuite à confirmer officiellement

Le nombre exact de personnes uniques concernées reste à confirmer. Les 214 527 enregistrements revendiqués peuvent inclure des comptes anciens, inactifs, doublons ou utilisateurs liés à plusieurs événements.

Si la revendication est confirmée, l’incident serait sérieux : il combinerait données personnelles, événements privés, rôles utilisateurs, informations de cagnottes, références bancaires et indicateurs KYC. Un ensemble suffisamment riche pour alimenter des fraudes ciblées longtemps après la fuite initiale.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires