Skip to content
hacker_posts

Iron Bodyfit : Shabat met en vente 382 000 clients d'électrostimulation

Le 19 juin 2026, l'acteur Shabat met en vente une base attribuée à Iron Bodyfit : 382 544 clients d'électrostimulation revendiqués, sur cinq pays. Pas de communiqué de l'enseigne.

Publié le 4 min de lecture
fuiteiron-bodyfitshabatfrance

Le 19 juin 2026, un acteur opérant sous le pseudonyme Shabat met en vente sur un forum cybercriminel une base de données attribuée à Iron Bodyfit, l'enseigne d'électrostimulation à franchise présente en France, Belgique, Suisse, Canada et Espagne. La revendication, recensée par Cyberattaque.org et la fiche FrenchBreaches, porte sur 382 544 fiches clients. Iron Bodyfit n'a publié aucun communiqué à la date de ce billet.

Périmètre revendiqué

Les échantillons publiés en libre accès par l'acteur, au format JSON, associent par fiche :

  • Identité : nom, prénom, date de naissance, genre.
  • Coordonnées : adresse postale complète, courriel, téléphone.
  • Compte : langue préférée, statut du compte, date de création du profil.
  • Suivi : centre Iron Bodyfit fréquenté (nom de la salle, adresse, fuseau horaire), indicateurs liés à la pratique et au suivi des adhérents.

Cyberattaque.org note que certaines fiches contiennent des indicateurs potentiellement liés à l'état de santé de l'adhérent — sans qu'on dispose à ce stade d'un inventaire de variable par variable. La date de l'export annoncée par Shabat est le 9 juin 2026.

Vecteur revendiqué

À ce stade, Shabat ne précise pas publiquement le point d'entrée. Aucune mention de rançongiciel, de chiffrement de système ou d'intrusion sur l'infrastructure du siège n'a été observée dans les publications de l'acteur. La présence de fiches issues de plusieurs pays distincts dans un même export tend à pointer vers un système centralisé — typiquement un CRM ou un back-office d'adhérents partagé entre franchises — plutôt que vers la compromission d'un studio isolé. C'est une hypothèse, pas une certitude : à confirmer par l'enseigne si elle communique.

Statut de l'exploitation

La base est proposée à la vente sur un forum cybercriminel anglophone. Les échantillons rendus publics par Shabat permettent à des observateurs tiers de constater la cohérence interne des fiches (correspondance nom / adresse / centre), mais aucune vérification indépendante par l'enseigne ni par une autorité ne confirme à ce stade ni l'authenticité de l'ensemble du jeu de données, ni l'origine exacte de la compromission. Pas de revendication de rançongiciel associée, pas de site de leak rattaché à un groupe organisé connu.

Que faire

  1. Adhérents Iron Bodyfit des cinq pays cités (France, Belgique, Suisse, Canada, Espagne), passés ou actifs : considérer que coordonnées, date de naissance et centre fréquenté peuvent être en circulation. Vigilance accrue sur les sollicitations « urgentes » par téléphone ou e-mail mentionnant nominativement le studio fréquenté — c'est le signal qui rend les arnaques crédibles à partir de ce type de jeu de données.
  2. Hygiène mot de passe : si vous réutilisez votre mot de passe Iron Bodyfit ailleurs (ce que l'enseigne déconseille mais que beaucoup d'utilisateurs font), rotation immédiate sur tous les sites concernés. Le mot de passe ne figure pas dans les échantillons publics observés à ce jour, mais le statu quo « pas vu, pas pris » ne tient pas tant que l'enseigne n'a pas confirmé le périmètre exact.
  3. Franchisés et opérateurs locaux : remonter au siège toute anomalie d'accès aux outils d'adhérents observée depuis fin mai 2026, et conserver les journaux d'accès du CRM aussi loin que la rétention le permet. Si le vecteur est un compte légitime compromis (hypothèse principale par cohérence avec les exfiltrations B2B récentes en France), la trace existe.
  4. Notification CNIL : si Iron Bodyfit confirme la compromission, le seuil des 100 000 personnes est franchi très largement, et la présence éventuelle d'indicateurs liés à la santé déclenche un régime de notification renforcé. Documenter dès maintenant la chronologie d'apprentissage pour respecter le décompte des 72 heures.
  5. Réseaux d'électrostimulation tiers : la cible Iron Bodyfit n'est pas la première du segment forme-santé revendiquée cette année. Auditer ses propres expositions B2B (CRM franchises, portails de réservation, applications mobiles) avant qu'un acteur ne fasse la même démonstration.

Contexte

Iron Bodyfit s'inscrit dans une série de revendications visant des chaînes de remise en forme et de bien-être, déjà documentée cette année avec Basic-Fit côté grand public. La spécificité de l'épisode Iron Bodyfit est sa portée internationale : la même base couvre cinq pays, avec un identifiant de centre par fiche, ce qui simplifie pour un acquéreur la segmentation par ville et par studio. Pour des arnaques téléphoniques ou des relances frauduleuses « au nom de votre studio », c'est la combinaison qui paye.

À l'échelle française, la vague des revendications immobilières ChimeraZ et la cadence de notifications signalée par la CNIL (≈24 violations déclarées par jour début 2026) placent ce nouvel épisode dans un fond de tableau désormais familier : moins de rançongiciels spectaculaires, plus d'exfiltrations silencieuses de bases d'adhérents revendues sur des forums. L'enseigne n'a pas, pour l'instant, suivi la séquence de communication ouverte adoptée par d'autres victimes — c'est l'angle que la couverture francophone surveillera dans les prochains jours.

Articles liés