Αγορά τώρα, πληρώστε αργότερα, η εταιρεία δανείων Affirm προειδοποιεί ότι οι κάτοχοι των καρτών πληρωμής της εκτέθηκαν τα προσωπικά τους στοιχεία λόγω παραβίασης δεδομένων στον τρίτο εκδότη της, την Evolve Bank & Trust (Evolve).
Η Affirm είναι μια εταιρεία fintech που παρέχει φιλικές προς τον καταναλωτή εναλλακτικές σε παραδοσιακές πιστωτικές επιλογές. Προσφέρει επίσης χρηματοδότηση σημείου πώλησης, εικονικές κάρτες σε α
εφαρμογή για κινητό
και μια πλήρως ενσωματωμένη φυσική κάρτα που ονομάζεται “Affirm Card”.
Η Evolve είναι ένας μεγάλος πάροχος χρηματοπιστωτικών υπηρεσιών που ειδικεύεται στη λιανική και εμπορική τραπεζική, στη διεκπεραίωση πληρωμών και στο
banking
-as-a-service (BaaS).
Έχει ενεργές συνεργασίες με πολλές εταιρείες fintech, συμπεριλαμβανομένων των Shopify, Bilt, Plaid, Stripe και Mercury. Αυτές οι εταιρείες fintech το χρησιμοποιούν για να παρέχουν το τραπεζικό backend για τα προϊόντα τους, συμπεριλαμβανομένης της έκδοσης καρτών, της διαχείρισης καταθέσεων και της διευκόλυνσης δανείων.
Τον Ιούνιο, η συμμορία ransomware LockBit ισχυρίστηκε ψευδώς ότι παραβίασε την Ομοσπονδιακή Τράπεζα των ΗΠΑ και έκλεψε 33 TB δεδομένων.
Ωστόσο, αφού οι ερευνητές ανέλυσαν τα δεδομένα, διαπιστώθηκε ότι είχαν κλαπεί από την Evolve Bank & Trust, η οποία επιβεβαίωσε στο BleepingComputer ότι τα δεδομένα ανήκαν σε αυτούς.
“Η Evolve διερευνά επί του παρόντος ένα περιστατικό κυβερνοασφάλειας στο οποίο εμπλέκεται μια γνωστή κυβερνοεγκληματική
οργάνωση
. Φαίνεται ότι αυτοί οι κακοί ηθοποιοί έχουν δημοσιοποιήσει παράνομα δεδομένα στον σκοτεινό ιστό”, δήλωσε εκπρόσωπος της Evolve στο BleepingComputer.
Επιβεβαιώστε ότι επηρεάστηκε από την παραβίαση δεδομένων Evolve
Σε μια
ενημέρωση που δημοσιεύτηκε χθες
η Evolve είπε ότι ανταποκρίθηκε στο περιστατικό επαναφέροντας τους κωδικούς πρόσβασης παγκοσμίως, ανακατασκευάζοντας κρίσιμα στοιχεία διαχείρισης πρόσβασης ταυτότητας, συμπεριλαμβανομένου του Active Directory, και διάφορα μέτρα σκλήρυνσης δικτύου.
Σύμφωνα με τα τελευταία ευρήματα της έρευνας, υπάρχουν στοιχεία ότι τα κλεμμένα δεδομένα περιλαμβάνουν ονόματα, Αριθμούς Κοινωνικής Ασφάλισης (SSN), αριθμούς τραπεζικών λογαριασμών και στοιχεία επικοινωνίας.
Η Affirm, ένας από τους πελάτες της Evolve, προειδοποιεί τώρα τους πελάτες της ότι τα προσωπικά και οικονομικά τους στοιχεία ενδέχεται να έχουν εκτεθεί στην παραβίαση δεδομένων του Evolve. Το Affirm μοιράζεται δεδομένα πελατών με την Evolve όπως απαιτείται για την έκδοση Affirm Cards, μια χρεωστική κάρτα που σας επιτρέπει να πληρώνετε για
αγορές
με την πάροδο του χρόνου.
«Στις 25 Ιουνίου 2024, η Evolve Bank & Trust (“Evolve”), ο τρίτος εκδότης της κάρτας Affirm, ειδοποίησε την Affirm (την Εταιρεία) ότι η Evolve είχε βιώσει ένα περιστατικό ασφάλειας στον
κυβερνοχώρο
κατά το οποίο ένα τρίτο μέρος απέκτησε μη εξουσιοδοτημένη πρόσβαση σε προσωπικές πληροφορίες και οικονομικές πληροφορίες (“Προσωπικά στοιχεία”) των πελατών λιανικής τραπεζικής Evolve και των πελατών των συνεργατών της στον χρηματοοικονομικό τομέα,
διαβάζει την κατάθεση 8-K
.
“Επειδή η Εταιρεία μοιράζεται τα Προσωπικά Στοιχεία των χρηστών Affirm Card με την Evolve για να διευκολύνει την έκδοση και εξυπηρέτηση των Affirm Cards, η Εταιρεία πιστεύει ότι τα Προσωπικά Δεδομένα των χρηστών Affirm Card παραβιάστηκαν ως μέρος του περιστατικού κυβερνοασφάλειας της Evolve.”
Η Affirm πρόσθεσε ότι η Evolve τους είχε διαβεβαιώσει ότι το περιστατικό ασφάλειας στον κυβερνοχώρο είχε περιοριστεί. Ωστόσο, η έρευνα για το εύρος της παραβίασης και την έκταση της μη εξουσιοδοτημένης πρόσβασης είναι ακόμη σε εξέλιξη.
Εν τω μεταξύ, η Affirm λέει ότι οι χρήστες ενδέχεται να συνεχίσουν τις συναλλαγές τους κανονικά, καθώς η Εταιρεία παραμένει σε εγρήγορση για δυνητικά ύποπτη δραστηριότητα που σχετίζεται με το συμβάν.
Ο Wise και ο Bilt επηρέασαν επίσης
Η παραβίαση στο Evolve έχει επηρεάσει ενδεχομένως πολλές άλλες εταιρείες fintech στις ΗΠΑ, με τη Wise και την Bilt να επιβεβαιώνουν ότι επηρεάστηκαν.
Ο Σοφός δημοσίευσε α
δήλωση στην ιστοσελίδα της
στα τέλη της περασμένης εβδομάδας, ενημερώνοντας τους πελάτες ότι είχε κοινοποιήσει πλήρη ονόματα, διευθύνσεις, στοιχεία επικοινωνίας, αριθμούς κοινωνικής ασφάλισης και άλλες ευαίσθητες πληροφορίες με την Evolve ως μέρος μιας συνεργασίας μεταξύ 2020 και 2023.
Η Wise διαβεβαίωσε τους πελάτες ότι οι λογαριασμοί τους παραμένουν ασφαλείς και ότι είναι ασφαλές να συνεχίσουν να χρησιμοποιούν τις «Wise Cards» τους, αλλά συνέστησε αυξημένη επαγρύπνηση έναντι πιθανών επιθέσεων phishing.
Η Bilt έχει επίσης ειδοποιήσει τους πελάτες
μέσω ειδοποιήσεων
ότι η συνεργασία της με την Evolve μπορεί να οδήγησε σε παραβίαση ευαίσθητων πληροφοριών πελατών.
Ωστόσο, ένας υπάλληλος της Bilt επιβεβαίωσε στο Reddit ότι
δεν είναι
βέβαιοι εάν κάποιο από τα δεδομένα των πελατών της είχε πράγματι εκτεθεί.
“Δώσαμε αυτήν την ειδοποίηση για πολλή προσοχή, αλλά αυτή τη στιγμή η Evolve δεν έχει υποδείξει ποιες, εάν υπάρχουν, πληροφορίες χρήστη της Bilt έχουν επηρεαστεί”, δημοσίευσε ένας υπάλληλος της Bilt στο
Reddit
.
Ομοίως με τις άλλες οντότητες, η Bilt διαβεβαίωσε τους χρήστες ότι οι λογαριασμοί τους παραμένουν ασφαλείς και ότι η πλατφόρμα δεν επηρεάστηκε άμεσα. Ως εκ τούτου, δεν υπάρχει διακοπή στη λειτουργία του.
Η Evolve υποσχέθηκε επίσης να στείλει με email μεμονωμένες ειδοποιήσεις σε όλα τα άτομα που επιβεβαιώθηκε ότι επηρεάστηκαν από το περιστατικό στις 8 Ιουλίου 2024.
Λόγω της σοβαρότητας της παραβίασης δεδομένων Evole, πιθανότατα θα δούμε περαιτέρω εταιρείες fintech να αποκαλύπτουν πιθανές παραβιάσεις δεδομένων καθώς η έρευνα συνεχίζεται.
VIA:
bleepingcomputer.com
0