Données volées chez Basic-Fit : plus d’un million de clients potentiellement exposés

Actualités
Par publié

Une cyberattaque en cours d’analyse

A gym athlete lifting a kettle bell off the floor, bathed in purple light
(Crédit photo: Getty Images / freemixer)
  • Basic-Fit confirme une violation de données affectant environ un million de clients dans six pays
  • Les données dérobées incluent noms, coordonnées, dates de naissance et informations bancaires
  • Aucun mot de passe ni document d’identité exposé, mais un risque de phishing est attendu

Basic-Fit, l’une des plus grandes chaînes de salles de sport en Europe, a confirmé la perte de données sensibles concernant environ un million de ses clients.

L’entreprise a annoncé la nouvelle par e-mail aux personnes concernées, ainsi que dans un communiqué de presse et des déclarations transmises aux médias.

« Aujourd’hui, Basic-Fit a notifié l’autorité de protection des données compétente concernant un accès non autorisé au système qui enregistre les visites des membres dans les clubs Basic-Fit », indique le communiqué. « L’accès non autorisé a été détecté par nos processus de surveillance des systèmes et a été interrompu quelques minutes après sa découverte. »

Les mots de passe sont en sécurité

Si l’annonce ne précisait pas le nombre exact de personnes concernées, un porte-parole a indiqué à The Register que les clients affectés résident dans les six pays où Basic-Fit est présent : les Pays-Bas, la Belgique, le Luxembourg, la France, l’Espagne et l’Allemagne.

« Au total, environ 1 million de membres sont concernés », a-t-il déclaré au média. Parmi eux, environ 200 000 se trouvent aux Pays-Bas.

À ce stade, aucun acteur malveillant n’a revendiqué l’attaque. Les données dérobées comprennent les noms, adresses postales, adresses e-mail, numéros de téléphone, dates de naissance et coordonnées bancaires des clients.

La nature exacte des « coordonnées bancaires » mentionnées n’est pas précisée. En règle générale, les entreprises ne conservent sur leurs serveurs que les quatre derniers chiffres d’une carte bancaire ; les données de paiement complètes sont habituellement stockées ailleurs.

« Basic-Fit ne conserve pas de documents d’identité de ses membres et aucun mot de passe n’a été consulté », conclut l’entreprise. À ce jour, aucune preuve d’une utilisation frauduleuse des données n’a été relevée, mais il est raisonnable de s’attendre à l’envoi de courriels de phishing dans les semaines à venir.

La société qui exploite Basic-Fit possède également Clever Fit, une chaîne allemande de salles de sport. Ensemble, les deux enseignes comptent environ 5,8 millions de membres enregistrés, selon The Register, et exploitent plus de 2 150 salles à bas coût dans 12 pays européens.

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.