Nous sommes à peine quelques mois après 2025, mais cette année a déjà vu plusieurs violations de données affectant les informations personnelles de millions de personnes, y compris tout, des dossiers des étudiants aux données téléphoniques et aux informations de santé sensibles.
L'année dernière, 2024, a vu plus d'un milliard de dossiers volés. Si les deux premiers mois de cette année sont quelque chose à faire, 2025 semble être une année sans précédent pour les violations de données.
La violation de PowerSchool affecte probablement des dizaines de millions d'étudiants et d'enseignants
La violation du géant de l'ED-Tech PowerSchool est l'une des plus grandes violations des données des étudiants de l'histoire récente. Bien que nous ne sachions toujours pas exactement combien de dossiers ont été volés (Powerschool a refusé à plusieurs reprises de divulguer ce chiffre), des rapports affirment que la violation a affecté plus de 62 millions d'étudiants et 9,5 millions d'enseignants aux États-Unis.
Powerschool, qui fournit des logiciels K-12 à plus de 18 000 écoles à travers l'Amérique du Nord, a révélé pour la première fois la violation de données en janvier. À l'époque, PowerSchool a déclaré que les pirates sans nom utilisaient un seul diplôme compromis pour accéder à son portail de support client, accordant l'accès à la richesse des données dans son système d'information scolaire, Powerschool Sis, que les écoles utilisent pour gérer les dossiers des élèves.
Les pirates ont accédé à des informations personnelles sensibles, y compris les notes des étudiants, les informations médicales et les numéros de sécurité sociale. Plusieurs écoles touchées par la brèche ont déclaré à TechCrunch que d'autres informations très sensibles, y compris les données des élèves très sensibles, y compris les informations sur les ordonnances de non-contengation, étaient accessibles.
PowerSchool n'a pas confirmé ou nié les 62 millions de chiffres signalés, mais divers dépôts ont confirmé que des millions de personnes avaient été touchées par la violation. Un dossier auprès du procureur général du Texas a révélé que près de 800 000 résidents de l'État avaient leur données volées, tandis que le district scolaire de Rochester City a confirmé que 134 000 étudiants étaient touchés.
Powerschool a récemment confirmé à TechCrunch qu'environ 16 000 personnes au Royaume-Uni avaient également des données volées dans la violation.
L'accès aux Doge de Musk représente un énorme compromis des données du gouvernement fédéral américain
Les premières semaines de l'administration Trump ont vu un autre type de violation – et qui tombera probablement dans l'histoire comme le plus grand compromis jamais compromis des données du gouvernement américain.
Les individus travaillant pour Elon Musk, qui est derrière le soi-disant ministère de l'efficacité du gouvernement de l'administration Trump, ou Doge, a pris le contrôle des meilleurs départements fédéraux et ensembles de données pour accéder à d'énormes mâts de données fédérales sensibles. Doge – composé principalement d'employés du secteur privé des propres entreprises de Musk – a saisi un large accès aux systèmes de paiement critiques du gouvernement américain contenant les informations personnelles de millions d'Américains et responsable des décaissements des milliards de dollars chaque année.
Depuis lors, une coalition de plus d'une douzaine d'États américains a déposé une plainte pour bloquer l'équipe de coûts de Musk d'accès aux systèmes gouvernementaux qui contiennent les données personnelles des Américains. Plus de 100 responsables fédéraux actuels et anciens ont également poursuivi l'agence Doge de Musk pour accéder aux registres sensibles du personnel des Américains sans autorisation appropriée.
Community Health Center, un fournisseur de soins de santé à but non lucratif basé au Connecticut, a déclaré en janvier qu'un pirate avait accédé aux données sensibles de plus d'un million de patients.
CHC, qui fournit des services tels que des programmes de soins de santé et de toxicomanie en milieu scolaire, a déclaré que le pirate sans nom avait compromis son réseau le 2 janvier pour voler les données personnelles des patients et les informations de santé sensibles. Ces données comprennent les adresses des patients, les numéros de téléphone, les diagnostics, les détails du traitement, les résultats des tests, les numéros de sécurité sociale et les informations sur l'assurance maladie.
Applications Stalkerware Cocospy, Spyic et Spyzie exposent les données téléphoniques de millions de personnes
Un trio d'applications Stalkerware a exposé les données personnelles de millions de personnes qui les ont involontairement plantées sur leurs appareils, a révélé un chercheur en sécurité à TechCrunch en février.
Les trois applications – cocospy, spyic et spyzie – partagent toutes la même vulnérabilité de sécurité qui permet à quiconque d'accéder aux données personnelles, y compris des messages, des photos et des journaux d'appels, à partir d'appareils qui ont les applications installées, généralement sans les connaissances des propriétaires d'appareils.
Le bogue facile à exploiter expose également les adresses e-mail des personnes qui se sont inscrites aux applications Stalkerware. Cela a permis à un chercheur en sécurité de gratter les adresses e-mail d'environ 3,2 millions d'adresses e-mail des clients cocospy, spyic et Spyzie, qui a été fourni au site de notification de violation, j'ai été pwned.
Le service de dépistage des employés américains DISA confirme la violation affectant plus de 3 millions de personnes
DISA, un fournisseur de services de dépistage des employés basés au Texas, y compris des tests de drogue et d'alcool et des vérifications des antécédents, a confirmé en février une violation de données massive qui s'est produite près d'un an plus tôt en avril 2024.
Dans un dossier auprès du procureur général du Maine, Disa a déclaré que la violation avait affecté plus de 3,3 millions de personnes qui avaient subi des tests de dépistage des employés. Alors que la société a déclaré que son enquête interne « ne pouvait pas conclure définitivement » quelles données spécifiques ont été volées, un dépôt distinct dans l'État du Massachusetts confirme que les numéros de sécurité sociale, les informations financières et les documents d'identité émis par le gouvernement font partie des données volées.
Disa a blâmé la violation d'un pirate non identifié, qui a eu accès à une partie du réseau de l'entreprise pendant plus de deux mois avant leur remarque.