Shinhan Card confirme une fuite visant environ 192 000 commerçants affiliés. Pas de cyberattaque, mais un soupçon de faute interne. Les autorités sud-coréennes sont saisies, sur fond de risque accru de phishing.

Shinhan Card, groupe sud-coréen de services financiers, a confirmé une fuite de données concernant environ 192 000 commerçants franchisés, majoritairement des indépendants. Les informations exposées portent surtout sur des numéros de téléphone, avec, dans une partie des cas, des éléments limités d’identité. L’entreprise indique qu’aucun numéro de carte, détail bancaire, numéro d’identification national ou donnée de crédit n’a, à ce stade, été identifié comme compromis.

Fuite interne, pas de piratage

Le scénario tranche avec l’imaginaire d’un assaut venu d’Internet. Shinhan Card affirme que l’incident n’est pas lié à une intrusion externe, mais à un comportement interne jugé déviant. Selon son explication, un employé d’une agence commerciale aurait transmis des données de commerçants à un recruteur de cartes, dans une logique de prospection. La formule choisie par la société est sans ambiguïté : « This was not due to external hacking but an employee’s misconduct » [Ce n’est pas un piratage], a déclaré un responsable de Shinhan Card, en précisant que la chaîne opérationnelle concernée a été bloquée.

Derrière ce vocabulaire, l’enjeu est concret : des indépendants, exploitant des points de vente affiliés, avaient fourni des informations personnelles dans le cadre des contrats standards liant commerçant et émetteur. Shinhan Card resserre le périmètre temporel : les contrats concernés s’échelonnent de mars 2022 à mai 2025. Autrement dit, l’exposition ne viserait pas l’ensemble des partenaires historiques, mais un segment récent, suffisamment vaste pour toucher près de deux cent mille entités.

La nature des données divulguées est décrite comme « limitée« , mais elle suffit à alimenter des campagnes de manipulation. L’entreprise indique que la majorité des enregistrements concernent des numéros de téléphone mobile, environ 180 000 cas. Dans près de 8 000 situations, le numéro aurait fuité avec un nom. Un sous-ensemble plus restreint inclurait aussi des informations comme la date de naissance et le genre. Pour clarifier ce que recouvrent ces ordres de grandeur, on peut faire un calcul simple à partir des chiffres fournis : 192 000 au total moins 180 000 numéros seuls, moins 8 000 numéros accompagnés d’un nom, cela laisse environ 4 000 dossiers. Ce reliquat correspond plausiblement aux enregistrements où figurent des détails additionnels, sans que Shinhan Card ne donne de ventilation plus fine.

Sur le point le plus sensible, Shinhan Card martèle l’absence d’indice d’atteinte aux données financières critiques. L’enquête interne n’aurait détecté ni numéro d’enregistrement citoyen, ni numéro de carte, ni données de compte, ni information de crédit exposés. À ce stade, la société ajoute n’avoir reçu aucun signalement confirmé d’usage frauduleux lié à ces fuites.

L’affaire a émergé en fin d’année 2025, après un signalement adressé à la Personal Information Protection Commission (PIPC), autorité sud-coréenne de protection des données. Une fois alertée, la PIPC a demandé des pièces à Shinhan Card pour mesurer l’étendue de la fuite et en établir la cause. Après sa propre revue, l’entreprise indique avoir formellement notifié l’incident à la PIPC le 23 décembre, au titre des obligations de déclaration, et dit coopérer pendant l’examen.

En parallèle, Shinhan Card tente de reprendre la main sur la relation de confiance. Elle a publié des excuses et des consignes sur son site et son application, et mis en ligne une page dédiée permettant aux commerçants de vérifier s’ils figurent dans le périmètre. « We will make every effort to protect our customers and prevent similar incidents from recurring« , a assuré un porte-parole, en insistant sur un renforcement des contrôles internes et une révision des droits d’accès aux données marchands.