Un service qui promettait une IA « non censurée » pour aider le piratage se retrouve pris à son propre piège : une base clients aurait fuité, avec mails, paiements et historiques d’abonnement.La plateforme WormGPT.AI, connue pour proposer des modèles d’intelligence artificielle non censurés destinés à des usages de piratage, aurait été compromise. Un individu affirme avoir publié l’intégralité de la base de données sur un forum de cybercriminalité, en fournissant des échantillons jugés cohérents avec sa revendication. La fuite concernerait plus de 19 000 utilisateurs uniques ayant utilisé le service en février 2026. Les informations exposées iraient bien au-delà d’une simple liste de contacts : elles incluraient des adresses e-mail, des identifiants internes, des données de paiement, des détails d’abonnement, ainsi que des métadonnées d’ordres et d’horodatages. Dans l’économie souterraine, ce type de fuite transforme une communauté de clients en cible prioritaire, et fait basculer un outil offensif dans une logique de contre-espionnage.
Un marché gris de l’IA qui se fracture de l’intérieur
Le récit commence par des publications sur trois forums de cybercriminalité. Des acteurs affirment avoir mis en ligne la base de données complète de WormGPT.AI, et diffuse des extraits pour crédibiliser la fuite (2 extraits sur trois étaient identiques). Dans ce milieu, l’échantillon sert de preuve, mais aussi de menace : il montre ce que l’attaquant détient, et ce qu’il peut monnayer.
L’enjeu principal tient à la nature même de WormGPT.AI. La plateforme est décrite comme proposant des modèles d’IA « non censurés » à des fins de piratage. Autrement dit, elle s’adresse à des utilisateurs qui cherchent des capacités offensives, contournant des garde-fous. Cette promesse a un revers mécanique : le service attire des profils qui, par définition, comprennent la valeur d’une base clients et l’intérêt d’une compromission. Dans ce contexte, une fuite n’est pas seulement un incident technique, c’est un signal de faiblesse structurelle.
Selon les individus à l’origine des publications, l’incident toucherait plus de 19 000 utilisateurs uniques ayant utilisé le service en février 2026. Le chiffre est important pour deux raisons. D’abord, il indique une traction significative, donc une surface de revente et de ciblage. Ensuite, il ancre la fuite dans une période récente, ce qui augmente la probabilité que les données soient encore exploitables, comptes actifs, moyens de paiement valides, essais en cours, habitudes d’achat intactes.
L’aspect le plus corrosif, dans cette affaire, est la collision entre l’image et la réalité opérationnelle. Une plateforme présentée comme un accélérateur de piratage se retrouve incapable, selon cette revendication, de protéger ses propres utilisateurs. Ce renversement crée une tension immédiate sur les forums : ceux qui achètent des services offensifs s’attendent à une discrétion minimale, et la perte de cette discrétion devient un risque personnel.
Ce que la base révèle, et pourquoi cela compte
D’après l’acteur et les échantillons mentionnés dans l’un des forums, les données compromises incluent des adresses e-mail et des identifiants utilisateur (UID). Pris isolément, cela ressemble à un annuaire. Mais l’ajout de données de paiement change de catégorie. Sont cités des identifiants client, des jetons de méthode de paiement et des factures. Même sans détails bancaires complets, ce trio suffit souvent à relier une identité numérique à une trace transactionnelle, donc à construire un dossier d’attribution, ou à lancer des campagnes d’escroquerie ciblées.
Les détails d’abonnement renforcent cette capacité de profilage : niveaux, nombre de jetons, statut de l’essai. Ces champs révèlent la maturité et l’intensité d’usage. Un utilisateur en essai n’a pas la même valeur qu’un abonné long terme, et un client à fort volume de jetons peut être perçu comme plus investi, donc plus vulnérable à la pression. La présence de scores de priorité ajoute une dimension interne : elle suggère un classement opérationnel, utile pour hiérarchiser des clients, et désormais utile aux attaquants pour hiérarchiser des cibles.
Les métadonnées, identifiants de commande et horodatages, donnent la chronologie. C’est un ingrédient clé pour la fraude et le chantage, car il permet de fabriquer des messages crédibles. Un escroc peut reprendre une date, un statut d’essai, un niveau d’abonnement, et produire un phishing sur mesure qui paraît authentique. Dans l’ombre, la précision est une arme : plus le détail est juste, plus la victime baisse sa garde.
Enfin, cette fuite a un effet miroir sur l’écosystème criminel. Les utilisateurs d’un service réputé aider au piratage peuvent être ciblés non seulement par des fraudeurs, mais par d’autres acteurs cherchant à recruter, extorquer, ou « retourner » des profils. Dans une logique de renseignement, une base de clients est une cartographie sociale : qui paie, quand, à quel niveau, et avec quel historique. C’est exactement le type de données qui permet de comprendre une communauté, de la segmenter, puis de l’exploiter.
merci à ZATAZ
