A közelmúltban az Evolve Bank & Trustnál történt adatvédelmi incidens jelentős hatással volt számos fintech cég ügyfeleire, köztük a Wise .com/) és Affirm. A zsarolóvírus-programbanda LockBit volt a felelős ezért az incidensért, amely több pénzügyi technológiai vállalatnál komoly aggodalmakat váltott ki a fogyasztói adatok biztonsága miatt.
Nevezetesen az arkansasi Evolve Bank & Trust adataiból derült ki, hogy azok az adatok forrása, amelyeket a jól ismert zsarolóvírus-banda, a LockBit először azt állította, hogy ellopták az amerikai Federal Reserve-től. Az Evolve azonnal ellenőrizte, hogy a hackerek magánügyféladatokat és információkat szereztek-e pénzügyi technológiai partnereiktől.
A nemzetközi pénzátutalási szolgáltatásokról ismert Wise cég felfedte, hogy bizonyos ügyféladatokat feltörtek. Az USD-számlaadatok megadása érdekében a Wise 2020 és 2023 között együttműködött az Evolve-vel. Ez magában foglalta a személyes adatok, köztük a nevek, címek, születési dátumok, telefonszámok, társadalombiztosítási számok (SSN-ek) vagy munkáltatói azonosítószámok (EIN-ek) cseréjét az ügyfelek számára. az Egyesült Államokban, és más személyazonosító okmányszámok más országokban lévő ügyfelek számára. Annak ellenére, hogy a Wise felmondta az Evolve-val fennálló együttműködését, a bank megőrizte ezen adatok egy részét, amely veszélybe került. A Wise megnyugtatja az ügyfeleket, hogy rendszerei biztonságosak, és az incidens nem érinti őket, a cég pedig agresszíven felveszi a kapcsolatot azokkal az emberekkel, akiknek adatait feltörhették.
Az Affirm vásároljon most-fizessen később szintén megerősítette, hogy egyes ügyfeleit érintette az adatfeltörés. A SEC beadványában megerősítette, hogy a kártyakibocsátáshoz és karbantartáshoz szükséges adatmegosztás a fogyasztók személyes adatainak veszélyeztetéséhez vezetett. Az Affirm azonban kijelentette, hogy nem történt biztonsági incidens, és az ügyfelek továbbra is a szokásos módon használhatják az Affirm kártyáikat.
Az Evolve Bank elismerte, hogy a LockBit csoport felelős volt a kompromisszumért, átlátható módon. Egy alkalmazott rosszindulatú hivatkozásra való kattintása okozta a jogsértést, amely február és május között hozzáférést biztosított a hackereknek a bank adatbázisaihoz és a fájlmegosztásokhoz, és lehetővé tette az ügyfelek adatainak ellopását. Az Evolve rendelkezik biztonsági mentésekkel, amelyek csökkentik az adatvesztést és a működési hatásokat, még akkor is, ha a hackerek fájlokat titkosító ransomware-t is használtak. Az Evolve szerint nincs bizonyíték arra, hogy a tolvajok hozzáférhettek volna az ügyfelek pénzéhez. Mindazonáltal lehetséges, hogy személyes adatokat, köztük neveket, SSN-eket, bankszámlaszámokat és elérhetőségeket loptak el. A bank megígérte, hogy személyesen értesít mindenkit, akit érint, és folyamatosan dolgozik a kiberbiztonsági probléma megoldásán.
Az Evolve Bank hack következményei túlmutatnak az Affirm and Wise-on. Az EarnIn, a Marqeta, a Melio, a Mercury és a Branch a többi fintech partner között van, akik az ügyfélkörükre gyakorolt hatást vizsgálják. Nem világos, hogy összesen hány fogyasztót és harmadik fél vállalkozást érintettek, ami aláhúzza azt a széles körben elterjedt kockázatot, amelyet ezek a kiberbiztonsági események jelentenek az összekapcsolt pénzügyi szektorban.
Az a mód, ahogyan az Evolve kezelte a támadást, és az érintett szervezetek – például a Wise és az Affirm – nyitottsága rávilágít az erős kiberbiztonsági protokollok és az azonnali kommunikáció fontosságára az ügyfelek bizalmának megőrzésében válság idején. Az érintett ügyfeleknek azt tanácsoljuk, hogy maradjanak éberek, és vegyék figyelembe pénzügyi szolgáltatóik tanácsait a lehetséges kockázatok csökkentése érdekében, amíg a vizsgálatok folyamatban vannak.