Selon DataBreaches (databreaches.net), un individu surnommé « Lovely » l’a contacté via Signal en novembre 2025 pour obtenir un point de contact sécurité chez Condé Nast, avant de se révéler publier des données d’utilisateurs de WIRED.
DataBreaches explique avoir d’abord aidé à relayer l’alerte, « Lovely » affirmant ne pas chercher de rémunération et évoquant une vulnérabilité permettant d’exposer des profils et de changer les mots de passe des comptes. La personne a ensuite revendiqué avoir téléchargé plus de 33 millions de comptes (par marques du groupe, listés en fichiers JSON) et a finalement indiqué avoir communiqué six vulnérabilités à l’équipe sécurité après mise en relation via un contact chez WIRED. Condé Nast ne disposait pas de fichier security.txt clair pour le signalement.
Par la suite, DataBreaches constate que « Lovely » a commencé à leaker des données de WIRED sur des forums, malgré l’annonce de corrections. Une mise à jour du 27 décembre 2025 cite Have I Been Pwned (Troy Hunt) et signale la publication de 2,3 millions d’enregistrements d’utilisateurs de WIRED en ligne, avec des données récentes jusqu’à septembre précédent. Les champs exposés comprennent adresses e‑mail et noms d’affichage; pour une petite part d’utilisateurs, nom, téléphone, date de naissance, genre, et localisation ou adresse postale complète. Le lot WIRED serait un sous‑ensemble d’autres marques Condé Nast revendiquées par l’acteur.
DataBreaches indique n’avoir reçu aucune réponse publique de Condé Nast ni déclaration officielle à la date de la mise à jour, tandis que la fuite a été relevée sur LinkedIn par Alon Gal et intégrée à HIBP. Le site conclut avoir été « joué » par l’acteur, qui avait initialement demandé un simple relais vers l’équipe sécurité.
TTPs observés/revendiqués:
- 🧑💻 Contact initial via Signal sous couvert de « chercheur ».
- 🔓 Exploitation de vulnérabilités web permettant la visualisation et la modification d’informations de comptes (revendiqué).
- 📦 Exfiltration de bases par marques (fichiers JSON) et publication sur forums.
- 📣 Utilisation de la menace de fuite pour obtenir l’attention/engagement de la cible.
Type d’article: récit et rapport d’incident visant à documenter une fuite de données WIRED/Condé Nast et les interactions ayant mené à sa divulgation.
🔗 Source originale : https://databreaches.net/2025/12/25/conde-nast-gets-hacked-and-databreaches-gets-played-christmas-lump-of-coal-edition/