Basic-Fit : fuite de données membres
Basic-Fit signale un accès non autorisé exposant les données de jusqu'à 1 million de membres en Europe, dont la France. Données bancaires concernées.
- Organisation
- Basic-Fit
- Secteur
- Autre
- Pays
- Pays-Bas, Belgique, Luxembourg, France, Espagne, Allemagne
- Date des faits
- Détectée et stoppée peu avant la notification du 13 avril 2026 ; date exacte de l'intrusion non communiquée
- Ampleur
- jusqu'à 1 million de membres (dont ~200 000 aux Pays-Bas)
- Vecteur
- inconnu
- Données exposées
- Nom, Adresse postale, Adresse e-mail, Numéro de téléphone, Date de naissance, Coordonnées bancaires, Informations d'abonnement
La chaîne de salles de sport Basic-Fit a annoncé le 13 avril 2026 avoir subi un accès non autorisé à l’un de ses systèmes internes, en l’occurrence celui qui enregistre les visites des membres dans ses clubs. Selon l’entreprise, jusqu’à 1 million de membres pourraient être concernés à travers les six pays où elle opère : Pays-Bas, Belgique, Luxembourg, France, Espagne et Allemagne. Environ 200 000 personnes seraient touchées aux seuls Pays-Bas. La France figure donc explicitement parmi les territoires affectés.
Les données exposées comprennent, selon Basic-Fit, les noms, adresses postales, adresses e-mail, numéros de téléphone, dates de naissance, coordonnées bancaires et informations relatives à l’abonnement. L’entreprise précise qu’aucun mot de passe ni document d’identité n’aurait été compromis. La présence de coordonnées bancaires parmi les données exposées élève le niveau de risque, notamment en matière d’hameçonnage et d’usurpation d’identité.
Basic-Fit indique que l’accès non autorisé a été détecté par ses dispositifs de surveillance et bloqué « en quelques minutes ». Selon SecurityWeek, l’enquête aurait toutefois établi que des données avaient été téléchargées par l’attaquant. L’entreprise a déclaré avoir notifié l’autorité de protection des données compétente et informé les membres concernés. À la date des publications, aucun groupe de rançongiciel n’avait revendiqué l’incident et l’entreprise affirmait n’avoir constaté ni publication ni usage abusif des données.
Le vecteur d’attaque n’a pas été divulgué. Les faits rapportés ici proviennent essentiellement du communiqué de Basic-Fit relayé par la presse spécialisée (BleepingComputer, Help Net Security, SecurityWeek) ; les chiffres exacts par pays, la portée précise de l’exfiltration et l’identité de l’autorité notifiée pour les membres français (vraisemblablement la CNIL) restent à confirmer par des sources officielles.