Компанията за заеми Affirm предупреждава, че личните данни на притежателите на нейни платежни карти са били компрометирани поради пробив в данните на издателя – трета страна, Evolve Bank & Trust (Evolve).
Affirm е финтех компания, която предоставя удобни за потребителите алтернативи на традиционните кредитни опции. Тя предлага също така финансиране в точката на продажба, виртуални карти в мобилно приложение и напълно интегрирана физическа карта, наречена „Affirm Card“.
Evolve е голям доставчик на финансови услуги, специализиран в банкирането на дребно и търговското банкиране, обработката на плащания и банкирането като услуга (BaaS).
Той има активни партньорства с множество финтех компании, включително Shopify, Bilt, Plaid, Stripe и Mercury. Тези финтех компании я използват, за да осигурят банковия бекенд за своите продукти, включително издаване на карти, управление на депозити и улесняване на отпускането на заеми.
През юни бандата LockBit ransomware фалшиво заяви, че е пробила Федералния резерв на САЩ и е откраднала 33 TB данни.
След като изследователите анализираха данните обаче, беше установено, че те са били откраднати от Evolve Bank & Trust, които потвърдиха, че данните са принадлежали на тях.
„В момента Evolve разследва инцидент, свързан с киберсигурността, в който е замесена известна киберпрестъпна организация. Изглежда, че тези престъпници са пуснали незаконно получени данни, в тъмната мрежа“, заяви говорител на Evolve.
В актуализация, публикувана вчера, Evolve заяви, че е реагирала на инцидента, като е нулирала паролите в световен мащаб, възстановила е критични компоненти за управление на достъпа до идентичност, включително Active Directory, и е предприела различни мерки за укрепване на мрежата.
Според последните резултати от разследването има доказателства, че откраднатите данни включват имена, номера на социални осигуровки (SSN), номера на банкови сметки и информация за контакт.
Affirm, един от клиентите на Evolve, вече предупреждава своите клиенти, че тяхната лична и финансова информация може да е била изложена на риск при нарушаването на сигурността на данните на Evolve. Affirm споделя данни за клиентите си с Evolve, тъй като това е необходимо за издаването на Affirm Cards – дебитна карта, която ви позволява да плащате за покупки във времето напред.
„На 25 юни 2024 г. Evolve Bank & Trust („Evolve“), третата страна, издател на Affirm Card, уведоми Affirm (Дружеството), че Evolve е преживяла инцидент, свързан с киберсигурността, при който трета страна е получила неоторизиран достъп до лична информация и финансова информация („Лична информация“) на клиенти на Evolve, занимаващи се с банкиране на дребно, и на клиенти на нейни партньори в областта на финансовите технологии“, се казва в документа 8-K.
„Тъй като Дружеството споделя Личната информация на потребителите на Affirm Card с Evolve, за да улесни издаването и обслужването на Affirm Card, Дружеството счита, че Личната информация на потребителите на Affirm Card е била компрометирана като част от инцидента с киберсигурността на Evolve.“
Affirm добави, че Evolve ги е уверила, че инцидентът с киберсигурността е бил овладян. Въпреки това все още продължава разследването на обхвата на нарушението и степента на неразрешения достъп.
Междувременно Affirm заявява, че потребителите могат да продължат да извършват нормални транзакции, тъй като компанията остава в повишена готовност за потенциално подозрителна дейност, свързана с инцидента.
Нарушението в Evolve потенциално е засегнало няколко други финтех фирми в САЩ, като Wise и Bilt потвърдиха, че са били засегнати.
Wise публикува изявление на своя уебсайт в края на миналата седмица, в което информира клиентите си, че е споделила пълни имена, адреси, данни за контакт, номера на социални осигуровки и друга чувствителна информация с Evolve като част от партньорство между 2020 и 2023 г.
AD Wise увери клиентите, че техните акаунти остават защитени и е безопасно да продължат да използват своите „карти Wise“, но препоръча повишена бдителност срещу потенциални фишинг атаки.
Bilt също уведоми клиентите си чрез известия, че партньорството ѝ с Evolve може да е довело до компрометиране на чувствителна информация за клиентите.
Служител на Bilt обаче потвърди в Reddit, че не е сигурен дали данните на клиентите му действително са били изложени на риск.
„Предоставихме това известие от излишък на предпазливост, но към този момент Evolve не е посочила каква, ако изобщо има такава, информация за потребителите на Bilt е била засегната“, написа служител на Bilt в Reddit.
Подобно на другите структури, Bilt увери потребителите, че техните акаунти остават защитени и че платформата не е била пряко засегната; следователно няма прекъсване на работата ѝ.
Evolve също така обеща да изпрати индивидуални известия по имейл на всички лица, за които е потвърдено, че са били засегнати от инцидента и това ще стане на 8 юли 2024 г.
Поради сериозността на нарушението на сигурността на данните на Evole вероятно ще станем свидетели на разкриването на потенциални нарушения на сигурността на данните от страна на още финтех компании, тъй като разследването продължава.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.