Skip to content
hacker_posts

Smartbox : 60 568 comptes et 200 000 contrats revendiqués sur un forum

Un acteur opérant sous le pseudonyme « misère » revendique 60 568 comptes utilisateurs et plus de 200 000 documents contractuels Smartbox. Aucune communication officielle de l'éditeur.

Publié le 4 min de lecture
fuitesmartboxmiserefrance

Le 11 juin 2026, un acteur opérant sous le pseudonyme « misère » a publié sur un forum cybercriminel une fuite attribuée à Smartbox, spécialiste européen des coffrets cadeaux et expériences de loisirs. La revendication couvre 60 568 comptes utilisateurs et plus de 200 000 enregistrements contractuels, soit environ 2,65 Go d'archives aux formats JSON et CSV. Les vérifications d'échantillons par Cyberattaque.org et FrenchBreaches convergent sur le décompte. À l'heure de publication, Smartbox n'a publié aucun communiqué.

Périmètre revendiqué

Deux jeux de fichiers sortent de l'archive échantillonnée :

  • 60 568 comptes utilisateurs : identifiants Smartbox, données d'identité, références personnelles et professionnelles associées.
  • 202 000+ enregistrements contractuels : documents d'accords commerciaux faisant apparaître des références à des hôtels, restaurants, établissements touristiques et partenaires loisirs référencés au catalogue Smartbox.

L'examen croisé des deux observatoires francophones converge sur un constat : la fuite touche moins le grand public (côté coffret cadeau) que les outils internes de gestion des partenaires et prestataires du groupe. Les exemples publiés font apparaître des références à des environnements de signature électronique (mentions Salesforce, Adobe Sign), suggérant un accès gestionnaire à des contrats déjà signés plutôt qu'une compromission front-office.

Statut de la revendication

  • Auteur : compte « misère » sur forum cybercriminel.
  • Date de publication : 11 juin 2026.
  • Authenticité : non confirmée par Smartbox. Les échantillons publiés ont permis une vérification de cohérence par Cyberattaque.org et FrenchBreaches ; le jeu complet reste hors de portée publique.
  • Vecteur : inconnu. La typologie des données cadre avec un compte interne ou prestataire compromis, mais aucune piste technique n'est confirmée à ce stade.
  • Mode opératoire : publication directe sur forum, pas de chiffrement de production, pas de rançongiciel associé. Le profil d'« misère » sur ce dossier relève de la revente de bases plutôt que de l'extorsion classique.

Que faire

  1. Partenaires Smartbox (hôtels, restaurants, prestataires loisirs) : considérer que vos références de contrat, contacts professionnels et conditions tarifaires peuvent circuler. Activer la vigilance contre les demandes de modification de RIB, les fausses notifications « Salesforce » ou « Adobe Sign » et les sollicitations urgentes d'avenant contractuel imitant Smartbox.
  2. Clients particuliers de Smartbox : la revendication ne désigne pas explicitement les comptes consommateurs ; en l'absence de communication officielle, traiter le mot de passe Smartbox comme potentiellement exposé. Le réinitialiser, vérifier sa réutilisation ailleurs, activer les notifications de connexion.
  3. DSI / DPO Smartbox : si l'incident se confirme, la double présence de données personnelles (comptes) et de données contractuelles B2B déclenche les obligations RGPD côté individus et le réflexe notification CNIL sous 72 h côté autorité. Documenter dès maintenant la chronologie d'apprentissage de l'incident, qu'il soit confirmé authentique ou non.
  4. Banques partenaires des prestataires affichés : surveiller les changements de domiciliation bancaire concernant les partenaires Smartbox pendant les prochaines semaines. Le scénario d'arnaque au RIB ciblant un fournisseur référencé est le risque le plus immédiat à partir de cette base.
  5. Équipes SOC : ajouter smartbox aux corrélations de domaines lookalike (typosquats du type smartbox-partner.fr, signsmartbox.com) et croiser avec les indicateurs d'envoi Adobe Sign / Salesforce pour repérer les premières campagnes de phishing exploitant la fuite.

Contexte

La revendication Smartbox arrive dans une série française dense en mises en vente de bases B2B2C. Sur les trente derniers jours, on a vu Krys et son écosystème optique (200 000 clients, ChimeraZ), Leboncoin Immobilier (4 millions d'annonces, ChimeraZ), Carvivo (1,5 million d'automobilistes) et la fuite Tchap touchant 73 000 agents de l'État. L'acteur « misère » n'est pas, en l'état, associé publiquement aux séries ChimeraZ ou Lagui : il s'agit d'une revendication isolée sur un forum déjà familier de ce type de mise en vente.

Le motif récurrent demeure : plateformes françaises hébergeant des contrats partenaires et des données B2B, accès gestionnaire compromis, exfiltration silencieuse, mise en vente immédiate sans phase de négociation. Le différenciateur Smartbox est l'angle partenaires loisirs — la cible naturelle des prochaines campagnes de phishing exploitant cette base ne sera pas le consommateur, mais le restaurateur ou l'hôtelier référencé. Les directions générales des indépendants partenaires devraient en tirer le réflexe immédiat : tout courrier entrant prétendant venir de Smartbox au cours des prochaines semaines mérite un rappel téléphonique au contact habituel avant la moindre action contractuelle ou bancaire.

Articles liés