#RGPD #SSI #Santé
Aeris (Bonjour la fuite), après une pause bien méritée, a publié une longue série de nouvelles fuites. Je ne liste que celles que je n’ai pas déjà postées ici (détails : voir : https://bonjourlafuite.eu.org):
1) (mutuelles, via la fuite majeure d’Almerys signalée ici le 22/05, pour toutes les mêmes types de DCP) Aesio, AG2R, LMDE, Via Santé, Ampli Mutuelle, Generali, MACIF, Intériale, Mutuelle LMP, Apivia. On doit en être à 22 mutuelles concernées depuis le début...
.../...

#SSI #Apache #NGinx #IIS
Des failles exploitées d'Apache, NGinx et Microsoft IIS (HTTP/2 Bomb CVE-2026-49975) : une petite requête suffit à faire tomber ces serveurs en saturant leur mémoire, en moins d'1 minute.
Prêt ? à vos patchs. Partez !
https://korben.info/http-2-bomb-une-mini-requete-suffit-pour-faire-tomber-nginx-apache-ou-iis.html

#RGPD #SSI
Fuite de plus de 100 hôtels aux Pays-Bas (potentiellement quelques-uns en Belgique et Irlande) du groupe Hospecs, via le logiciel de gestion interne (logiciel non cité). Volume : non indiqué (tous les clients de ces hôtels ?), types de DCP : au moins identités et coordonnées, et informations des réservations, puisque des campagnes de phishing sont déjà en cours : https://www.dutchnews.nl/2026/06/mass-data-breach-on-over-100-dutch-hotels-hits-guests/

#RGPD #SSI #UK
Fuite d’Ultrahuman (société anglaise d’objets connectés de mesures biométriques pour la santé/sport, le plus connu est une bague, le Ring Air/Pro), via le compte d’un employé piégé. Volume : 700 clients (= 0,1% des clients), types de DCP : non indiqués, mais on peut supposer identités, coordonnées et l’historique des informations mesurées (en rapport avec la santé) : https://techcrunch.com/2026/06/03/ultrahuman-says-hackers-accessed-customers-wellness-data-via-internal-tool/

#RGPD #SSI
Fuite revendiquée de Digital Avocat (conception de sites web pour avocats, revendique plus de 3 000 sites). Volume : env. 270 000 clients/prospects, types de DCP : identités, coordonnées (adresses postales, courriels et téléphones), dates de naissance, noms des cabinets, données des comptes et administrateurs, historique des appels, factures (avec montants), SEPA, IBAN, identifiant Stripe… https://fuitesinfos.fr/#digital-avocat-2026-06-04

#RGPD #SSI
Fuite revendiquée chez les Sapeurs Pompiers d’Indre-et-Loire (SDIS37). Volume : 2 700 personnels/agents, types de DCP : identités, coordonnées (adresses postales, courriels et téléphones), dates de naissance, matricules, fonctions et grades, structures de rattachement, n° de badge, informations administratives, photographies…, https://frenchbreaches.com/alertes/sapeurs-pompiers-d-indre-et-loire-mpykpavuvpoysn2slwk

#RGPD #SSI
Fuite revendiquée de France Services (2 865 lieux d’aides pour les démarches administratives), via le logiciel interne Osmose (plateforme collaborative interne). Volume : les DCP d’env. 11 000 agents, types de DCP : identifiants internes, identités, adresses courriels, structure de rattachement, fonction, URL du profil : https://www.cyberattaque.org/osmose-11-000-profils-dagents-france-services-diffuses-apres-une-cyberattaque/

#RGPD #SSI
Fuite massive de Carvivo (logiciel de gestion des prospects pour les concessions automobiles). Volume : env. 15 millions de clients et 1 700 garages/concessions, types de DCP : identités, coordonnées (adresses courriels et téléphones), informations commerciales (commentaires, notes de suivis, historiques des contacts, identifiants clients…), informations des véhicules (marques, modèles, immatriculations, …) et des informations sur les concessions : https://frenchbreaches.com/alertes/carvivo-mpyafsmluq35fmz27g

#RGPD #SSI #Santé
Fuite revendiquée de KRYS (réseau d'opticiens KRYS, Le Collectif des Lunetiers, Lynx Optique et KRYS Audition). Volume : plus de 200 000 clients, types de DCP : identités, coordonnées (adresses postales, courriels et téléphones), NIR, dates de naissance, divers identifiants (devis, commandes, factures…), désignation de l’opticien, montants https://fuitesinfos.fr/#krys-2026-06-03