Des données personnelles sensibles appartenant à plus de 150 000 joueurs et membres du personnel liés à la Confédération asiatique de football (AFC) et au club saoudien Al Nassr ont été divulguées en ligne, suscitant des inquiétudes de sécurité quelques semaines avant la Coupe du Monde de la FIFA 2026.
Selon les rapports, l’ensemble de données comprend des scans de passeports, des informations d’identification, des contrats et des adresses e-mail vérifiées liées à la fois aux joueurs et aux entraîneurs. La violation affecterait environ 69 000 joueurs et 81 000 membres du personnel, ce qui en fait l’un des plus grands incidents connus impliquant des données de football professionnel.
Les informations exposées vont au-delà des archives de base. Les fichiers fuités contiennent des noms légaux complets, des numéros de passeport, des dates de naissance, des nationalités, des affiliations de clubs et des données d’inscription à des tournois liées aux compétitions de l’AFC. Ces détails sont considérés comme très sensibles, notamment en raison de leur lien direct avec la vérification d’identité et les voyages internationaux.
Les données auraient été publiées sur un forum de cybercriminalité, où l’acteur malveillant prétendait posséder une base de données complète des joueurs et entraîneurs de l’AFC. La personne à l’origine de la fuite a fait référence à des liens avec le groupe ShinyHunters, bien que les chercheurs suggèrent que l’acteur pourrait exploiter la réputation du groupe pour accroître sa crédibilité et ses gains financiers.
Les analystes de sécurité avertissent que la combinaison des données de passeport, des contrats et des coordonnées vérifiées crée un environnement à haut risque pour des attaques ciblées. Ce jeu de données pourrait permettre la fraude d’identité, les campagnes de phishing, la manipulation de contrats et des tentatives d’ingénierie sociale visant des athlètes de haut niveau, des agents et des clubs.
Le moment de la brèche augmente considérablement son impact potentiel. Plusieurs nations membres de l’AFC se préparent à participer à la Coupe du Monde de la FIFA 2026, ce qui signifie que de nombreuses personnes concernées voyageront à l’international avec des calendriers et lieux connus publiquement. Ce chevauchement introduit non seulement des risques financiers et cybernétiques, mais aussi des risques potentiels de sécurité physique.
Les chercheurs ont noté que les données divulguées sont « opérationnellement pertinentes », indiquant qu’elles pourraient être activement utilisées à des fins d’exploitation plutôt que d’être obsolètes ou incomplètes. La présence de documents vérifiés et structurés augmente encore sa valeur sur les marchés souterrains.
L’incident met en lumière les défis persistants en cybersécurité dans les organisations sportives mondiales, où de grandes bases de données centralisées d’informations personnelles et contractuelles peuvent devenir des cibles de grande valeur. À l’approche des grands événements internationaux, ces ensembles de données deviennent encore plus attractifs pour les acteurs malveillants cherchant un gain financier ou une perturbation.