Selon TechCrunch, Figure a subi une fuite de données au cours de laquelle des hackers ont pu accéder à des informations de clients. L’incident a conduit à l’exfiltration de plusieurs catégories de données personnelles. ⚠️
La fintech américaine Figure (spécialisée dans le prêt basé sur la blockchain) a confirmé récemment un incident de sécurité ayant permis à des attaquants de voler “un nombre limité de fichiers”.
Selon une analyse du chercheur en cybersécurité Troy Hunt (créateur de Have I Been Pwned), le jeu de données publié contiendrait 967 200 adresses e-mail uniques associées à des clients Figure, ce qui laisse penser que l’impact pourrait approcher un million de personnes.
Le groupe cybercriminel ShinyHunters a revendiqué l’attaque et a publié 2,5 Go de données prétendument dérobées sur son site de fuite, généralement utilisé pour l’extorsion.
🧾 Données exposées (selon l’analyse)
D’après Troy Hunt, l’échantillon/le dataset contiendrait :
- 967 200 adresses e-mail uniques
- Noms
- Dates de naissance
- Adresses postales
- Numéros de téléphone
Figure n’a pas répondu aux demandes de commentaire et n’a pas confirmé si elle conteste ces résultats.
🧠 TTPs (tactiques / techniques) déductibles
Les détails techniques de l’intrusion ne sont pas fournis ici ; on reste donc sur des TTPs probables au regard du mode opératoire “data theft + leak site”.
- Exfiltration de données (TA0010) : vol de fichiers depuis les systèmes de l’entreprise
- Extorsion par divulgation (double extorsion “leak-only”) : publication sur un site de fuite pour pression financière
- Attribution revendiquée : communication et “name & shame” via infrastructure d’extorsion
Il s’agit d’un article de presse spécialisé visant à informer sur une annonce d’incident de sécurité touchant les données clients de Figure.
🔗 Source originale : https://techcrunch.com/2026/02/18/data-breach-at-fintech-giant-figure-affects-close-to-a-million-customers/