Basic-Fit piraté : un million de clients exposés… et le pire pourrait arriver après

Ces derniers mois, les campagnes de piratage de bases de données sensibles sont légion. La dernière affaire en date concerne Basic-Fit. Cette chaîne de salles de fitness néerlandaise compte autour de 1 650 salles de sport en Europe. Elle vient d'annoncer avoir été victime d'une vaste fuite de données concernant plusieurs pays, dont la France.

Pour les hackers, la chasse a été bonne, puisque dans leur gibecière, ils ont pu amasser les données personnelles les plus sensibles des clients. Noms, adresse postale et e-mail, téléphone, date de naissance et malheureusement les coordonnées bancaires font partie de la récolte.

Lire l'article

Comme Basic-Fit a pu rapidement identifier et bloquer l'intrusion, les dégâts semblent limités. Selon l'entreprise, les mots de passe des comptes ne font pas partie de la fuite, mais étant donné la nature les données récupérées, cela n'a plus vraiment d'importance à ce niveau. En tout, les données volées concerneraient autour d'un million d'abonnés. Ils auraient tous été prévenus par e-mail par la société. 

Récolte musclée !

Si Basic-Fit n'a pas encore indiqué l'ampleur des dégâts en France, ils doivent être significatifs, car c'est le pays où il y a le plus de salles (883 en 2025), ce qui présente autour de deux millions de membres.

Pour accéder à la base de données, les pirates sont parvenus à s'introduire dans le système qui gère les entrées et les sorties des abonnés dans les clubs. C'est à partir de cette brèche qu'ils ont pu exfiltrer un maximum de données personnelles.

Reste à savoir ce que les pirates vont faire des éléments récupérés. Ceux-ci pourraient bien enrichir les marchés de profils d'utilisateurs les plus complets du darknet, pour les louer ou les vendre dans le cadre d'autres campagnes de piratage, bien plus redoutables.

Lire l'article

Les véritables dégâts ne seront connus que d'ici plusieurs mois. D'ici là, pas évident que les abonnés à Basic-Fit puissent faire le lien entre d'éventuelles usurpation d’identité ou d'autres manœuvres frauduleuses, avec ce vol de données.