Credential Stuffing

📰 Source : BleepingComputer — Date de publication : 17 juin 2026 Le chercheur en sécurité Bob Diachenko a découvert un serveur exposé contenant une base de données massive de credentials Fortinet/FortiGate VPN, incluant noms d’utilisateur, adresses e-mail et mots de passe en clair. L’ensemble, baptisé “FortiBleed”, couvre 73 932 URLs de firewalls répartis dans 194 pays et 21 632 domaines uniques. 🎯 Organisations impactées : parmi les entités identifiées figurent Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid, Siemens, Lenovo, PwC, Accenture, Oracle, ainsi que des agences gouvernementales et des opérateurs d’infrastructures critiques. ...

🔍 Contexte Publié le 17 juin 2026 par Hudson Rock (hudsonrock.com), cet article s’appuie sur les recherches du chercheur en sécurité Volodymyr « Bob » Diachenko. Il documente une campagne d’espionnage cyber d’envergure mondiale ciblant les équipements Fortinet FortiGate (pare-feux et passerelles VPN). 🎯 Méthodologie de l’attaque Le groupe, décrit comme multi-opérateurs et russophone, a opéré de manière hautement automatisée : 1,16 milliard de tentatives de credential stuffing contre plus de 320 000 cibles FortiGate 2,1 milliards de tentatives de brute-force contre plus de 160 000 serveurs MSSQL Interception de hachages d’authentification SSL VPN et cracking via un cluster dédié de 45 GPU géré par Hashtopolis Pivot systématique vers les environnements Active Directory internes pour établir une persistance profonde Exploitation de bases de données de credentials préalablement volés (infostealers) pour contourner les politiques de complexité des mots de passe 📊 Ampleur et victimes 73 932 URLs de pare-feux uniques compromises dans 194 pays 21 632 domaines affectés uniques Pays les plus touchés : Inde (9 629), États-Unis (6 352), Taïwan (3 637), Mexique (3 197), Turquie (3 032) Secteurs les plus impactés : IT Services, Télécommunications, Construction, Services financiers, Gouvernement Victimes nommées : Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, ainsi que des entités gouvernementales et des infrastructures critiques. ...

📰 Source : BleepingComputer | Date de publication : 29 mai 2026 | Contexte : Suite à la violation de données de 2023 ayant exposé les informations de près de 7 millions de clients de 23andMe (désormais Chrome Holding Co.), le procureur général de Californie Rob Bonta a déposé une plainte formelle contre l’entreprise. 🔍 Incident d’origine (2023) L’attaque a été révélée en octobre 2023, lorsque des acteurs malveillants ont proposé à la vente des enregistrements volés à 23andMe, accompagnés de fuites d’échantillons de données pour en prouver l’authenticité. L’entreprise a confirmé l’authenticité des données et attribué l’intrusion à une attaque par credential stuffing ciblant des comptes avec des identifiants faibles. ...

📰 Source : Hackread.com — Date : 25 mai 2026 Un acteur malveillant opérant sous l’alias “Euphoric_Reply_5727” a mis en vente sur un forum cybercriminel connu une base de données présentée comme contenant 340 millions d’enregistrements liés à des utilisateurs OnlyFans (créateurs et abonnés). Le prix affiché est de 0,313 BTC (environ 24 007 USD au moment de la publication). 🔍 Nature de la base de données Contrairement aux affirmations initiales du listing évoquant des « bases de données internes OnlyFans », le vendeur a confirmé à Hackread.com via Telegram qu’aucune intrusion directe ni scraping de la plateforme n’a eu lieu. La base aurait été constituée par corrélation de données issues de fuites antérieures (Twitter, Instagram, Spotify) et de profils publics, afin d’identifier et lier des comptes OnlyFans réels. ...

🗂️ Contexte Source : Bureau du Procureur général d’Ukraine (gp.gov.ua), publication du 27 avril 2026. L’opération a été conduite par les procureurs de la région de Lviv, la cyber-police et le Service de sécurité d’Ukraine (SBU). 👥 Acteurs impliqués Un groupe de trois individus a été démantelé dans la région de Lviv : Un résident de Drohobych âgé de 19 ans, organisateur du schéma Deux complices âgés de 21 et 22 ans La période d’activité documentée s’étend d’octobre 2025 à janvier 2026. ...

🔍 Contexte Article publié le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article présente une analyse technique d’un outil offensif commercial nommé Pentagram, commercialisé comme solution automatisée d’acquisition de comptes VPN d’entreprise. 🛠️ Description de l’outil Pentagram est une plateforme modulaire composée d’un panel web centralisé et de workers distribués. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opérateur. Les binaires distribués incluent pentagram.exe et i2pd.exe. ...

Publié par Darknet.org.uk, cet article propose une analyse du credential stuffing en 2025, décrivant la chaîne allant des malwares infostealers à la revente de combolists, jusqu’aux attaques d’Account Takeover (ATO) automatisées à l’échelle industrielle. Credential stuffing : principal vecteur d’intrusion dans les entreprises Contexte Les identifiants compromis sont désormais le moyen d’accès initial le plus fiable pour pénétrer les réseaux d’entreprise. Selon le Verizon Data Breach Investigations Report (DBIR) 2025 : ...

Selon Hackread.com (18 août 2025), un acteur de menace se présentant comme « Chucky_BF » propose sur un forum cybercriminel un lot baptisé « Global PayPal Credential Dump 2025 » comprenant plus de 15,8 millions de paires email:mot de passe (en clair), assorties d’URLs liées aux services PayPal. Le vendeur affirme que le dump (environ 1,1 Go) couvre des comptes à l’échelle mondiale (Gmail, Yahoo, Hotmail, domaines pays), avec des entrées raw email:password:url. Les échantillons montreraient des adresses Gmail associées à des mots de passe et pointant vers des endpoints PayPal tels que /signin, /signup, /connect, ainsi que des URIs Android, suggérant une structuration qui faciliterait l’automatisation de connexions et l’abus de services. Certains comptes apparaissent en formats web et mobile. 💳 ...

L’article de Bleeping Computer met en lumière une situation où une prétendue “énorme fuite de données” s’est avérée être une compilation de données volées déjà existantes. Bien que cette annonce ait suscité une couverture médiatique alarmiste, il ne s’agit pas d’une nouvelle fuite de données. Les identifiants compromis étaient déjà en circulation depuis un certain temps, ayant été volés par des infostealers, exposés lors de précédentes fuites de données, ou obtenus via des attaques de credential stuffing. Ces informations ont ensuite été regroupées et exposées par des chercheurs ou des acteurs malveillants. ...

L’article de Bleeping Computer rapporte la révélation d’une compilation massive de données volées, surnommée “la mère de toutes les fuites”, qui a suscité une large couverture médiatique. Cette fuite est constituée de données d’identification précédemment volées par des logiciels malveillants appelés infostealers, ainsi que lors de fuites de données antérieures et par le biais d’attaques de credential stuffing. Les infostealers sont des logiciels malveillants conçus pour voler des informations sensibles, telles que des identifiants de connexion, souvent à l’insu de l’utilisateur. Les attaques par credential stuffing exploitent ces identifiants volés pour tenter de se connecter à d’autres comptes en utilisant des combinaisons d’identifiants et de mots de passe courants. ...