Les candidats, les familles et les titulaires de comptes liés à Croq' Vacances seraient concernés par une fuite revendiquée visant l'extranet de gestion des candidatures et des comptes, selon la revendication. L'annonce, publiée le 15 juillet 2026 sur un forum spécialisé, évoque un corpus touchant près de 73 000 personnes.
L'extranet concernerait les candidatures à des postes d'animation (BAFA/BAFD, direction, surveillance de baignade...), les contacts familiaux et les comptes utilisateurs. D'après la revendication, des informations d'identité et de contact (nom, adresse, téléphone, email, date et lieu de naissance) auraient été exposées, ainsi que des pièces justificatives et des documents de santé joints aux dossiers (pièces d'identité, carnets de vaccination) et des documents professionnels (CV, diplômes). La présence de données concernant des mineurs, d'informations de santé et d'éléments financiers ou administratifs rend la situation sensible et augmente les risques d'usurpation, de phishing ou d'arnaques ciblées, annoncé mais non vérifié à ce stade. Le dépôt mentionné évoque par ailleurs plusieurs dizaines de milliers de documents et les mots de passe des comptes utilisateur.
Données concernées :
- Identité et coordonnées : nom complet, adresse email, numéro de téléphone, adresse postale, date et lieu de naissance
- Pièces d'état civil et justificatives : pièce d'identité, numéro de sécurité sociale, numéro de permis ou de licence
- Informations financières et administratives : RIB
- Données de santé et dossier médical
- Données concernant des mineurs
- Données professionnelles et de candidature : CV, diplômes, rôle ou droits d'accès, données d'emploi, données de candidature
- Comptes utilisateurs et mots de passe (hachés)
- Documents joints et photos, champs libres
Données annoncées non vérifiées :
- L'ensemble des éléments ci‑dessus est annoncé dans la revendication et n'a pas été confirmé publiquement par l'association à ce stade.
Mentions :
Statut Fuites Infos : Revendiquée