Nedávné narušení bezpečnosti dat v Evolve Bank & Trust významně ovlivnilo zákazníky několika fintech společností, včetně Wise a Afirm. Ransomware gang LockBit byl zodpovědný za tento incident, který způsobil vážné obavy o bezpečnost spotřebitelských dat v několika společnostech zabývajících se finančními technologiemi.
Bylo zjištěno, že data z Evolve Bank & Trust v Arkansasu jsou zdrojem dat, o kterých známý ransomwarový gang LockBit nejprve tvrdil, že je ukradl americké centrální bance. Společnost Evolve okamžitě ověřila, že hackeři získali soukromá klientská data a informace od partnerů v oblasti finančních technologií.
Wise, společnost známá poskytováním služeb mezinárodního převodu peněz, odhalila, že určitá zákaznická data byla hacknuta. Aby bylo možné poskytnout podrobnosti o účtu v USD, Wise spolupracovala s Evolve v letech 2020 až 2023. To zahrnovalo výměnu osobních údajů, včetně jmen, adres, dat narození, telefonních čísel, čísel sociálního zabezpečení (SSN) nebo identifikačních čísel zaměstnavatele (EIN) pro zákazníky ve Spojených státech a další čísla dokladů totožnosti pro zákazníky v jiných zemích. Navzdory tomu, že Wise ukončilo partnerství s Evolve, banka si ponechala část těchto dat, která byla kompromitována. Společnost Wise ujistila zákazníky, že její systémy jsou bezpečné a incidentem se jich nedotkne, a společnost agresivně kontaktuje lidi, jejichž data mohla být kompromitována.
Společnost Affirm buy-now-pay-later také potvrdila, že někteří její klienti byli zasaženi data hackem. Potvrdit zveřejnění v podání SEC, že sdílení údajů vyžadovaných pro vydání a údržbu karty vedlo ke kompromitaci osobních údajů spotřebitelů. Společnost Affirm však uvedla, že nedošlo k žádnému bezpečnostnímu incidentu a že zákazníci mohou nadále používat své karty Affirm jako obvykle.
Evolve Bank uznala, že skupina LockBit byla za kompromis odpovědná transparentním způsobem. Kliknutí zaměstnance na škodlivý odkaz způsobilo narušení, které umožnilo hackerům přístup k databázím banky a sdílení souborů v období mezi únorem a květnem a možnost ukrást z nich zákaznická data. Evolve má zálohy, které snižují ztrátu dat a provozní dopad, i když hackeři také používali ransomware, který šifruje soubory. Podle Evolve neexistuje žádný důkaz, že se zloději mohli dostat ke klientským prostředkům. Je však možné, že byla odcizena soukromá data včetně jmen, SSN, čísel bankovních účtů a kontaktních informací. Banka slíbila, že bude osobně informovat každého, koho se to týká, a na vyřešení problému s kybernetickou bezpečností nepřetržitě pracuje.
Důsledky hacku Evolve Bank jdou nad rámec Affirm and Wise. EarnIn, Marqeta, Melio, Mercury a Branch patří k dalším fintech partnerům, kteří zkoumají dopad na svou klientelu. Není jasné, kolik spotřebitelů a podniků třetích stran bylo celkově zasaženo, což podtrhuje rozsáhlé riziko, které tyto události kybernetické bezpečnosti nabízejí v propojeném finančním sektoru.
Způsob, jakým se Evolve vypořádal s útokem, a otevřenost dotčených organizací, jako jsou Wise a Affirm, zdůrazňují význam silných protokolů kybernetické bezpečnosti a rychlé komunikace při zachování důvěry klientů v době krize. Dotčeným zákazníkům se doporučuje, aby zůstali ve střehu a dbali rad svých poskytovatelů finančních služeb, aby se snížila možná rizika v průběhu vyšetřování.