Un hacker utilisant le nom Lovely a revendiqué la responsabilité de la violation d'une base de données utilisateurs de Condé Nast, publiant plus de 2,3 millions d'enregistrements du magazine WIRED. Les données incluent des détails personnels comme les noms, e-mails, adresses et numéros de téléphone, mais pas de mots de passe. Le hacker menace de divulguer 40 millions d'enregistrements supplémentaires d'autres publications Condé Nast dans les semaines à venir.
Début décembre 2025, le hacker Lovely a annoncé la violation d'une base de données utilisateurs de Condé Nast. Ils ont publié un ensemble de données contenant plus de 2,3 millions d'enregistrements utilisateurs spécifiquement de WIRED, l'une des publications phares de Condé Nast. Les informations exposées englobent des détails démographiques de base tels que noms, adresses e-mail, adresses physiques et numéros de téléphone, mais, crucialement, ne comprennent pas de mots de passe.
Lovely a indiqué des plans pour divulguer davantage de données affectant jusqu'à 40 millions d'utilisateurs à travers diverses publications Condé Nast, incluant Vogue, The New Yorker et Vanity Fair. Cependant, Ars Technica, une autre publication sous le parapluie plus large mais opérant indépendamment, reste indemne grâce à son infrastructure technique unique.
Le hacker a présenté ses actions comme une réponse au prétendu négligence de Condé Nast envers les vulnérabilités de sécurité. Dans une déclaration, Lovely a écrit : « Condé Nast ne se soucie pas de la sécurité des données de ses utilisateurs. Il nous a fallu un mois entier pour les convaincre de corriger les vulnérabilités sur leurs sites web. Nous allons divulguer plus de données de leurs utilisateurs (40 + millions) dans les prochaines semaines. Profitez-en ! »
Des questions entourent les véritables intentions du hacker. Selon DataBreaches.Net, Lovely s'est initialement fait passer pour quelqu'un aidant à corriger les vulnérabilités mais cherchait en réalité un gain financier. Le site a déclaré : « Quant à 'Lovely', ils m'ont eu. Condé Nast ne devrait pas leur verser un centime, et personne d'autre non plus, car leur parole ne peut clairement pas être faite confiance. »
Condé Nast n'a pas encore publié de communiqué officiel sur l'incident. Ars Technica rapporte aucune notification interne, ce qui correspond à sa séparation des systèmes affectés. Des chercheurs en sécurité, tels que ceux de Hudson Rock’s InfoStealers, ont fourni des analyses détaillées de l'ampleur des données divulguées.