Kassy.ru, une plateforme russe de billetterie électronique, est une nouvelle victime de la cybercriminalité au sein de l'industrie du divertissement. Il vend des billets pour des concerts, des théâtres et des événements sportifs dans plus de 100 villes de Russie et sa base de données d'utilisateurs a été divulguée sur des sites Web sombres.
Kassy.rudivulgué publiquementla violation de données du 29 décembre 2025 et l’incident ont immédiatement mis en danger des centaines de milliers d’utilisateurs.
En mai 2025, Ticket to Cash, une plateforme de revente de billets, a également divulgué une grande quantité de données sensibles lorsque le chercheur en cybersécurité Jeremiah Fowler est tombé sur une base de données non sécurisée contenant 200 Go de données et plus d'un demi-million d'enregistrements. Ces incidents mettent en évidence la vulnérabilité des plateformes de billetterie en tant que cibles pour les cybercriminels cherchant à voler des données.
Base de données complète publiée sur un forum criminel
La faille Kassy.ru a été découverte lorsque l'acteur malveillant « Demetrius » a publié les données volées sur DarkForums, une plateforme notoire où les pirates échangent des informations compromises. Ces forums font office de marché noir complet, offrant tout, depuis les bases de données volées jusqu'à l'accès critique aux systèmes, comme le récentvente des identifiants VPN d’une université turque.
"Bonjour la communauté DarkForums, Aujourd'hui, j'ai téléchargé la violation de la base de données Kassy Ru pour que vous puissiez la télécharger, merci d'avoir lu et profitez-en!" Demetrius a écrit, traitant les informations personnelles de 300 000 personnes comme un divertissement occasionnel.
La base de données divulguée contient un éventail inquiétant de détails sensibles, notamment les noms légaux complets, les adresses e-mail, les numéros de téléphone, les adresses résidentielles, ainsi que les informations de naissance. La violation a également exposé les informations de connexion et les mots de passe, mettant en danger les comptes qui utilisent les mêmes informations d’identification sur différentes plates-formes.
Mais la violation va plus loin que les informations de contact de base. La base de données volée comprend de nombreuses données liées aux paiements, telles que les identifiants de paiement, les types de paiement, les détails de réservation et l'historique des transactions. Les identifiants des télégrammes et les champs d’informations des passeports ont également été compromis, créant de sérieux problèmes de confidentialité.
Des exemples d'extraits de code publiés par Demetrius montrent les structures de base de données contenant des champs pour l'état de confirmation par courrier électronique, des champs de mot de passe (références hachées et en texte brut) et des informations sur la famille. Des tableaux supplémentaires incluent les détails de l'ordre de paiement, les codes d'approbation, les méthodes de paiement, les informations sur le système de paiement par carte et les coordonnées bancaires.
La plateforme de revente de billets également compromise
LeViolation du Ticket to Cashs’ajoute aux preuves croissantes selon lesquelles les services de billetterie sont assiégés. La base de données non protégée de 200 Go contenait des noms, des adresses e-mail, des adresses personnelles et des données partielles de cartes de crédit. Il détenait également des milliers de dossiers de tickets, des preuves de transferts ainsi que des reçus.
Fowler a déterminé l'origine comme Ticket to Cash pilotée par des « structures de dossiers internes ». Il a immédiatement signalé le problème, mais n'a reçu aucun retour initial. L’équipe n’a sécurisé la base de données qu’au bout de quatre jours, date à laquelle davantage d’informations d’identification avaient déjà été exposées.
On ne sait toujours pas si l’attaque provient de l’entreprise elle-même ou d’un entrepreneur partenaire. La divulgation de données personnelles sensibles et d’informations financières soulève d’importants risques en matière de confidentialité, en particulier à mesure que la billetterie en ligne se développe.
Quels sont les enjeux pour les victimes
Pour les 300 000 utilisateurs de Kassy.ru, les risques sont importants et immédiats. La violation a exposé les noms d'utilisateur et les mots de passe, les attaquants peuvent lancer des attaques de credential stuffing sur d'autres services. Étant donné qu’une personne utilise le même mot de passe dans plusieurs applications, le credential stuffing constitue une menace très sérieuse.
Ce risque est amplifié par des failles de sécurité généralisées dans d'autres secteurs, comme la récente découverte selon laquelleles applications de voyage populaires exposaient les données sensibles de millions d'utilisateurs.
Le vol d’informations personnelles permet aux attaquants de mener des escroqueries de phishing très ciblées. Ils peuvent créer des e-mails ou des messages très légitimes en utilisant les informations personnelles incluses dans les données qu'ils ont volées. Par exemple, ils peuvent agir en tant que personnel d'assistance de Kassy.ru, déclarer qu'il y a un problème avec un jeton d'achat et fournir la preuve de réservations légitimes extraites des données volées afin de créer de la crédibilité.
Les attaquants pourraient exploiter les informations d’identification de Telegram pour mener des attaques d’ingénierie sociale très convaincantes via le service de messagerie Telegram. De plus, les numéros de téléphone constituent un autre moyen d’exploiter les individus via le vishing (voix phishing).
Les informations de paiement dans les bases de données soulèvent des signaux d’alarme supplémentaires. Bien qu’il ne soit pas clair si l’une ou l’autre de ces violations a révélé l’intégralité des numéros de carte de crédit, les criminels pourraient potentiellement utiliser les données des ordres de paiement, les codes d’approbation et les détails du système de paiement pour commettre une fraude financière ou reconstituer des schémas de transaction.