.
O número de instituições financeiras afetadas pela violação no Evolve Bank & Trust continua aumentando, já que as empresas de fintech Wise e Affirm confirmam que foram materialmente afetadas.
As notícias do incidente da Evolve foram divulgadas na semana passada. A empresa de Banking-as-a-Service divulgou oficialmente que foi vítima de um ataque de ransomware LockBit no final de maio, mas os relatos de comprometimentos de dados subsequentes em parceiros surgiram nos últimos dias.
A empresa Affirm, que oferece serviços de compra agora e pagamento depois, informou à Comissão de Valores Mobiliários dos EUA (SEC) na segunda-feira que acredita que dados pessoais dos titulares do cartão Affirm foram potencialmente roubados no ataque de ransomware à Evolve.
A Evolve é a emissora terceirizada do Affirm Card, o cartão de débito compre-agora-pague-depois da empresa, e foi assim que a Affirm foi arrastada para o desastre. Ela insiste que seus próprios sistemas não foram comprometidos.
“Este incidente não impactou nenhuma outra parte dos negócios ou operações da empresa”, disse a Affirm no documento regulatório.
“Após ser notificada do incidente de segurança cibernética da Evolve, a empresa imediatamente iniciou uma investigação independente da investigação da Evolve para determinar se alguma informação pessoal do usuário do Affirm Card havia sido comprometida, e essa investigação, juntamente com os esforços de remediação, estão em andamento na data deste [filing].
“A Evolve comunicou à Empresa que este incidente de segurança cibernética foi contido. No entanto, o escopo, a natureza e o impacto completos do incidente na Empresa e nos usuários do Affirm Card, incluindo a extensão em que houve acesso não autorizado às informações pessoais dos usuários do Affirm Card, ainda não são conhecidos.”
O registro na SEC ocorre após uma notificação da Affirm em 27 de junho, informando aos seguidores que foi informada sobre o incidente da Evolve dois dias antes e que entendeu que os dados “podem” estar comprometidos, mas estava apenas investigando naquele momento.
A escala da violação, em termos de exatamente quantos indivíduos podem ter tido seus dados roubados, ainda não foi confirmada. No entanto, o número de usuários afetados está aumentando a cada dia que um novo parceiro da Evolve divulga uma violação.
A especialista em transferência de dinheiro Wise, que parou de trabalhar com a Evolve no ano passado, divulgou na semana passada que alguns de seus usuários podem ter sido afetados e serão notificados diretamente por escrito.
“O Evolve Bank & Trust é um banco regulamentado com o qual trabalhamos de 2020 a 2023 para fornecer detalhes de contas em USD”, diz a divulgação da Wise. “Eles foram afetados recentemente por uma violação de dados e algumas informações pessoais de clientes da Wise podem ter sido envolvidas. Enviaremos um e-mail a todos os clientes da Wise que achamos que podem ter sido afetados por essa violação de dados diretamente.
“Para que o Evolve Bank & Trust fornecesse detalhes da conta em USD aos clientes da Wise, eles eram obrigados a manter informações de identificação. As informações que compartilhamos com o Evolve Bank & Trust para fornecer detalhes da conta em USD incluíam nome, endereço, data de nascimento, detalhes de contato, SSN ou EIN para clientes dos EUA ou outro número de documento de identidade para clientes de fora dos EUA. O Evolve ainda não nos confirmou quais dados foram impactados.”
Em 28 de junho, quando a divulgação da Wise foi atualizada pela última vez, a Evolve pode não ter dito à empresa fintech quais dados foram afetados, mas sua notificação de violação atualizada confirma SSNs, números de contas bancárias e informações de contato “para a maioria” de seus clientes bancários pessoais e clientes de seus parceiros bancários. Acredita-se que dados de funcionários também sejam afetados.
As investigações continuam para determinar se os setores de negócios, fundos fiduciários e hipotecas da Evolve também são afetados.
Quanto aos outros parceiros, uma lista completa pode ser encontrada no site da Evolve. Apenas um outro reconheceu publicamente o incidente.
A Mercury, que faz operações bancárias para startups, sugeriu em um comunicado que pelo menos alguns de seus clientes foram afetados e foram notificados diretamente.
“Estamos investigando minuciosamente os dados vazados para entender quais informações do cliente estão em risco”, disse. “Além disso, as credenciais da conta Mercury – incluindo sua senha – não foram expostas (não compartilhamos essas informações).”
Todos os parceiros listados pela Evolve foram contatados por O registro.
Um porta-voz da Melio nos disse: “Estamos cientes da violação de segurança do Evolve Bank & Trust e estamos trabalhando diligentemente com eles para determinar se a Melio ou qualquer um de nossos clientes foram afetados por ela. Manteremos nossos clientes informados com qualquer informação relevante à medida que aprendermos mais. Não houve interrupções nas operações da Melio como resultado deste incidente.”
Tempestade imperfeita
A divulgação da violação não poderia ter ocorrido em pior hora para a Evolve, que menos de quinze dias antes teve que responder a perguntas após o Conselho da Reserva Federal dos EUA e o Departamento Bancário do Estado do Arkansas terem apontado formalmente várias deficiências.
Elas estavam relacionadas ao seu tratamento de práticas antilavagem de dinheiro, gerenciamento de risco e programas de conformidade do consumidor. Suas parcerias com outras empresas de fintech foram designadas como “inseguras”, com o conselho ordenando que ela melhorasse em todas essas áreas.
“A Evolve faz parcerias com várias empresas de tecnologia financeira que, por sua vez, fornecem acesso a produtos e serviços bancários para seus clientes finais”, disse o conselho. “Exames conduzidos em 2023 descobriram que a Evolve se envolveu em práticas bancárias inseguras e insalubres ao deixar de ter uma estrutura de gerenciamento de risco eficaz para essas parcerias.
“Além disso, a Evolve não manteve um programa eficaz de gerenciamento de riscos ou controles suficientes para cumprir as leis de combate à lavagem de dinheiro e as leis de proteção ao consumidor.”
Se todos os cronogramas fornecidos pelas organizações em questão estiverem corretos, o aviso do Federal Reserve veio cerca de duas semanas depois que o LockBit invadiu os sistemas da Evolve. ®
.
