Pelanggaran data di Evolve merugikan banyak mitra fintechnya

Pelanggaran data di Evolve Bank & Trust bulan lalu telah merugikan banyak mitra fintech yang disponsori bank tersebut — termasuk Wise, yang berhenti bekerja sama dengan bank tersebut tahun lalu.

Evolve, yang berkantor pusat di Jonesboro, Arkansas, mendeteksi pelanggaran keamanan siber pada bulan Mei yang dilakukan oleh LockBit, kelompok ransomware yang diklaim secara salah bulan lalu bahwa itu telah data Federal Reserve yang dicuri.

Berdasarkan standar bank yang pernah mengalami pelanggaran data, Evolve sangat transparan tentang bagaimana pelanggaran data terjadi dan siapa yang melakukannya. Sementara sebagian besar korban pelanggaran data menolak untuk mengakui pelaku ancaman tertentu yang mencuri data mereka atau bagaimana, Evolve secara khusus menyebut LockBit sebagai pelaku, bahkan sampai mengatakan bahwa bank tersebut tidak membayar tebusan yang diminta kelompok tersebut.

Evolve mengatakan pada hari Senin di postingan publik bahwa bank tersebut mengidentifikasi pada bulan Mei bahwa beberapa sistemnya tidak berfungsi dengan baik, dan melalui penyelidikan menemukan akses tidak sah yang dihentikan pada tanggal 31 Mei. Bank tersebut mengonfirmasi bahwa LockBit melakukan serangan ransomware, dan bahwa pelaku ancaman “tampaknya” memperoleh akses ketika seorang karyawan “secara tidak sengaja mengeklik tautan internet berbahaya.”

Bank tidak menemukan bukti bahwa penjahat mengakses dana nasabah, meskipun kelompok ransomware mengunduh informasi nasabah “selama periode Februari dan Mei.” LockBit “juga mengenkripsi beberapa data dalam lingkungan kami,” tetapi pencadangan memungkinkan bank untuk “membatasi” kehilangan data dan dampaknya terhadap operasi.

Evolve juga mengatakan bahwa mereka menolak membayar tebusan, itulah sebabnya LockBit membocorkan data yang mereka curi. “Mereka juga secara keliru mengaitkan sumber data tersebut dengan Federal Reserve Bank,” demikian bunyi pernyataan publik bank tersebut.

Bank mengantisipasi akan mulai mengirimkan pemberitahuan individual tentang pelanggaran data pada tanggal 8 Juli.

Evolve bekerja sama dengan banyak perusahaan teknologi finansial, banyak di antaranya telah menghubungi pelanggan dalam beberapa hari terakhir untuk menyampaikan bahwa Evolve telah memberi tahu perusahaan teknologi finansial tersebut tentang pelanggaran data. Perusahaan-perusahaan berikut telah mengakui atau memberi tahu pelanggan secara terbuka bahwa pelanggaran data Evolve telah memengaruhi data mereka:

Menegaskan memberi tahu pengguna kartu di email bahwa pelanggaran data di Evolve, yang menerbitkan Kartu Affirm, “mungkin” telah membahayakan beberapa data dan informasi pribadi. Perusahaan fintech pembayaran tersebut mengatakan bahwa mereka mengetahui insiden tersebut pada malam hari tanggal 25 Juni. Meskipun Affirm tidak menyebutkan berapa banyak pelanggan yang terkena dampak, mereka melaporkan bahwa mereka telah satu juta pengguna kartu dalam laporan pendapatan terbarunya.

Hadiah Bilt Pelanggan mengatakan mereka menerima pemberitahuan dari perusahaan kartu kredit, yang mengkhususkan diri dalam memberikan hadiah untuk pembayaran sewa, bahwa insiden tersebut “mungkin” telah membahayakan beberapa data pribadi yang tercatat di Evolve. Perusahaan tersebut tidak segera menanggapi permintaan komentar.

Cabang memberi tahu nasabah bahwa data nasabah Evolve telah terpengaruh, tetapi bank belum dapat memastikan apakah ada data pemegang rekening perusahaan teknologi penggajian itu yang terpengaruh. Perusahaan tidak segera menanggapi permintaan komentar.

Hasilkan Uang secara terbuka mengakui adanya pelanggaran data di Evolve, yang merupakan mitra perbankan layanan akses upah yang diperoleh. Perusahaan fintech tersebut mengatakan bahwa mereka “bekerja keras untuk memahami potensi dampak” dari data yang bocor pada data pelanggan EarnIn. Perusahaan tersebut tidak segera menanggapi permintaan komentar.

Melio, perusahaan fintech pembayaran yang menyasar usaha kecil, mengatakan kepada American Banker bahwa perusahaan tersebut bekerja sama dengan Evolve untuk menentukan apakah perusahaan fintech tersebut atau pelanggannya yang terkena dampak pelanggaran tersebut. “Kami akan terus memberi tahu pelanggan kami dengan informasi yang relevan saat kami memperoleh informasi lebih lanjut,” kata presiden dan CEO DeeDee Rudenestein. “Tidak ada gangguan pada operasi Melio akibat insiden ini.”

Air raksasebuah perusahaan fintech bisnis-ke-bisnis yang mengumumkan ekspansi ke perbankan konsumen awal tahun ini, mengatakan pelanggaran data Evolve melibatkan “nomor rekening, saldo setoran, nama pemilik bisnis, dan email” yang terkait dengan Mercury dan akun fintech lainnya.

Bijakyang berhenti bekerja sama dengan Evolve pada tahun 2023, secara terbuka mengakui bahwa bank tersebut memiliki data milik nasabah perusahaan fintech pembayaran internasional, yang sebelumnya dikenal sebagai TransferWise. Meskipun Evolve belum mengonfirmasi kepada Wise data apa yang terdampak, perusahaan fintech tersebut mengatakan bahwa bank tersebut memiliki nama, alamat, tanggal lahir, detail kontak, nomor Jaminan Sosial dan nomor identifikasi karyawan nasabah untuk nasabah AS, dan nomor dokumen identitas lainnya untuk nasabah non-AS.

Seorang juru bicara Wise mengatakan perusahaan tersebut terus melakukan investigasi menyeluruh dan telah menghubungi pelanggan yang mungkin telah terdampak oleh pelanggaran data Evolve secara langsung melalui email. Wise membantu menyiapkan pendaftaran dalam layanan pemantauan kredit bagi pelanggan AS yang memilih untuk menerimanya. “Sistem Wise tidak terganggu dan pelanggan kami dapat mengakses akun mereka dengan aman,” kata perusahaan tersebut dalam sebuah pernyataan.

Hasil Jalan memberi tahu pelanggan bahwa “kemungkinan besar informasi Anda terkena dampak,” menambahkan bahwa kumpulan data yang dicuri “sangat besar, mencakup ratusan perusahaan dan ratusan ribu catatan pengguna.” Yieldstreet memberi tahu pelanggan bahwa data yang terlibat dalam pelanggaran “bervariasi berdasarkan individu tetapi dapat mencakup nama, nomor Jaminan Sosial, tanggal lahir, informasi akun, dan atau informasi pribadi lainnya.” Perusahaan tersebut tidak segera menanggapi permintaan komentar.

Perusahaan fintech yang terkena dampak mengatakan pelanggaran Evolve tidak membahayakan kredensial akun pelanggan mereka.

Beberapa perusahaan tambahan yang dilaporkan terkena dampak pelanggaran Evolve tidak segera menanggapi permintaan komentar.