L'actualité de la semaine en matière de violations de données

États-Unis

Bitcoin Depot

Bitcoin Depot, l'un des principaux opérateurs américains de distributeurs automatiques de bitcoins, informe ses clients d'une fuite de données ayant exposé des informations personnelles recueillies lors de transactions en cryptomonnaie. Les données exposées peuvent inclure les noms, numéros de téléphone, numéros de permis de conduire, adresses personnelles, dates de naissance et adresses e-mail, selon les personnes concernées.

La société a révélé dans une lettre d'information adressée à ses clients qu'elle avait détecté pour la première fois des activités suspectes le 23 juin 2023. Bitcoin Depot a indiqué avoir achevé son enquête interne le 18 juillet 2024. Cependant, la société n'a pas été autorisée à informer ses clients de l'incident avant juillet 2025 en raison d'une enquête policière en cours.

États-Unis

Le Département des Transports du Texas

Le Département des transports du Texas (TxDOT) a confirmé, le 12 mai 2025, une fuite de données touchant près de 300 000 dossiers de rapports d'accidents, après qu'un pirate informatique a accédé à un compte personnel du TxDOT.

Les données divulguées comprennent les noms, adresses, numéros de permis de conduire et numéros d'immatriculation. Les informations relatives aux polices d'assurance des conducteurs ainsi que d'autres détails liés aux accidents ont également été divulgués. L'agence a commencé à informer les personnes concernées par courrier postal le 9 juillet et a mis en place une ligne d'assistance dédiée à l'intention des personnes touchées par cette violation.

États-Unis

Flutter Entertainment

Flutter Entertainment, propriétaire de grands sites de jeux d'argent tels que Betfair et Paddy Power, a révélé une fuite de données touchant jusqu'à 800 000 clients.

La société, qui compte en moyenne 4,2 millions de joueurs par mois sur l'ensemble de ses marques au Royaume-Uni et en Irlande, a désigné comme responsable une fuite de données survenue chez un prestataire de services dont le nom n'a pas été divulgué. Les données exposées pourraient inclure l'adresse IP des clients, leur adresse e-mail et certaines informations relatives à leur compte de paris.

Flutter Entertainment a informé les utilisateurs concernés dans un courrier qu'elle avait maîtrisé l'incident et qu'elle collaborait avec des experts en cybersécurité afin de renforcer ses systèmes de protection.

États-Unis

Rockerbox

Au début du mois, des chercheurs en cybersécurité ont découvert une archive non sécurisée attribuée à Rockerbox, un cabinet de conseil basé au Texas et spécialisé dans les crédits d'impôt. Cette mine d'informations contient 287 Go de données et près de 246 000 enregistrements.

Les données compromises comprennent des noms, des adresses, des adresses e-mail, des dates de naissance, des numéros de sécurité sociale ainsi que des numéros de permis de conduire et de carte d'identité, sans oublier des informations relatives à l'emploi et au salaire issues de documents et de lettres de décision concernant le crédit d'impôt pour l'emploi. Les fichiers contiennent également des documents sensibles, tels que des formulaires de démobilisation militaire DD214 et des fichiers PDF comportant des informations personnelles, notamment des noms et des données sur les employeurs. La base de données a depuis été sécurisée.

Europe

LVMH

LVMH est à nouveau sous les feux de l'actualité cette semaine en raison d'une nouvelle cyberattaque, qui a cette fois-ci visé ses activités britanniques de Louis Vuitton. Le groupe a révélé que cet incident avait entraîné la divulgation des noms, des coordonnées et de l'historique des achats de ses clients. La marque s'est empressée de rassurer ses clients en précisant qu'aucune donnée financière n'avait été compromise.

Cette intrusion, survenue le 2 juillet, constitue le troisième incident cybernétique impliquant LVMH en trois mois, après des attaques similaires contre la filiale coréenne de Louis Vuitton la semaine dernière et contre Christian Dior Couture.

Japon

Nippon Steel Solutions

Nippon Steel Solutions, une filiale de Nippon Steel, a annoncé avoir détecté des activités non autorisées sur plusieurs serveurs au début du mois. Une enquête interne a révélé que des pirates informatiques avaient exploité une faille de type « zero-day » dans les équipements réseau de l'entreprise pour accéder à des informations sensibles concernant des clients, des partenaires et des employés.

Les données des clients potentiellement compromises comprennent les noms, les affiliations professionnelles, les fonctions, les adresses e-mail professionnelles, les numéros de téléphone et les adresses postales. Des informations relatives aux partenaires, telles que leurs noms et leurs adresses e-mail professionnelles, ont également été divulguées. Cet incident fait suite à une attaque perpétrée en février 2025 contre une autre division de l'entreprise, Nippon Steel USA, par le groupe de ransomware BianLian.

Australie et Nouvelle-Zélande

Foodstuffs S.A.

Le distributeur alimentaire néo-zélandais Foodstuffs Ltd. a annoncé avoir détecté récemment des tentatives de fraude visant à accéder à un nombre limité de comptes New World Clubcard. L'entreprise a précisé que les pirates tentaient de deviner les mots de passe à l'aide d'outils automatisés. Elle confirme que ses systèmes restent sécurisés et qu'aucune donnée personnelle relative aux cartes de crédit n'a été compromise.

Afin de protéger ses clients, Foodstuffs a temporairement désactivé une fonctionnalité de sa carte New World Clubcard qui permettait d'échanger des New World dollars et a supprimé les jetons de paiement enregistrés sur les comptes concernés. Les utilisateurs concernés sont invités à réinitialiser leur mot de passe en choisissant une phrase de passe complexe afin de rétablir leur accès et de renforcer la sécurité.