Un « leak » provenant d’une application fintech a exposé plus de 10 000 clients, les informations de prêts et les remboursements.

Une fuite de données provenant de l’application fintech chinoise YangQianGuan a exposé plus de 10 000 enregistrements comprenant noms, numéros de téléphone et confirmations de remboursement. Un cas rare révélé par le pirate informatique lui même qui propose à la vente, 1 000 dollars, son larcin.

Selon les informations regroupées par le Service de Veille de ZATAZ, cette fuite concerne l’application YangQianGuan, opérant dans la région de Hefei, province de l’Anhui, sur la période 2023‑2025. Le fichier comprend au moins 10 000 enregistrements uniques, dont des numéros de téléphone chinois (11 chiffres), des noms complets en caractères chinois, ainsi que le contenu intégral des SMS confirmant le remboursement du prêt. Autant dire que cet exemple est intéressant tant les applications de ce type poussent comme champignon en Automne dans le monde.

Contexte réglementaire et réputation de l’entreprise

YangQianGuan, filiale de Beijing Lingyue Information Technology Co., Ltd., revendique des mécanismes de chiffrement avancés, une gestion des données conforme à la loi chinoise sur la protection des informations personnelles, et des certifications tierces. Le site précise que les données sensibles sont chiffrées, stockées selon des règles de classification et surveillées par un département dédié, avec des procédures d’alerte en cas d’incident.

Cependant, malgré ces garanties, cette fuite suggère une faille grave dans la mise en œuvre réelle de ces mesures. Les échantillons diffusés par le pirate ne sont pas chiffrés et/ou anonymisés. Elle s’inscrit dans une série d’incidents en Chine, y compris des fuites massives (WeChat, Alipay, police de Shanghai), où des données sensibles ont été exposées, souvent par des erreurs de configuration ou absence de protections. Il n’est pas impossible qu’un « Insider » [employé] soit aussi une source pour ce genre de fuite de données.