La société de transfert d’argent et de fintech Wise a annoncé vendredi que certaines des données personnelles de ses clients pourraient avoir été volées lors de la récente violation de données chez Evolve Bank and Trust.
La nouvelle souligne que les retombées de la violation de données d’Evolve sur les entreprises tierces – et leurs clients et utilisateurs – ne sont toujours pas claires, et il est probable qu’elles incluent des entreprises et des startups encore inconnues.
Dans un communiqué publié sur son site officiel, Wise a écrit que la société a travaillé avec Evolve de 2020 à 2023 « pour fournir des détails de compte en USD ». Et étant donné qu’Evolve a été violé récemment, « les informations personnelles de certains clients de Wise peuvent avoir été impliquées ».
« Nous enverrons un e-mail à tous les clients de Wise qui, selon nous, pourraient avoir été affectés directement par cette violation de données », a écrit la société.
Wise a déclaré qu’il partageait les données personnelles des clients américains avec Evolve, des informations comprenant des noms, des adresses, des dates de naissance, des coordonnées et des numéros de Sécurité sociale ou d’identification d’employeur. Pour les citoyens non américains clients, Wise a également partagé « un autre numéro de document d’identité ».
À ce stade, on ne sait pas combien de clients de Wise ont été touchés, car la société a écrit qu’elle « enquêtait toujours activement ».
Contactez-nous
Avez-vous plus d’informations sur la violation d’Evolve et sur la façon dont elle affecte d’autres entreprises ? À partir d’un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase and Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter fr.techtribune.netvia SecureDrop.
Wise n’a pas répondu à une demande de commentaire demandant de clarifier combien de ses clients se sont fait voler leurs données.
Lorsqu’il a été contacté par fr.techtribune.netpour un commentaire, demandant si Evolve savait combien d’entreprises partenaires – anciennes et actuelles – et d’utilisateurs finaux avaient été touchés par la violation, et si Evolve les avait déjà tous contactés, le porte-parole d’Evolve, Eric Helvie, a refusé de commenter et a fait référence à Déclaration officielle de la société sur son site web.
Au moment d’écrire ces lignes, la déclaration indique qu’Evolve « continue de travailler 24 heures sur 24 pour répondre au récent incident de cybersécurité » et promet de fournir d’autres mises à jour. La société a déclaré que la violation était une attaque par ransomware par le gang de cybercriminels LockBit, en raison d’un employé ayant cliqué sur un lien malveillant en mai de cette année.
« Il n’y a aucune preuve que les criminels aient accédé aux fonds des clients, mais il semble qu’ils aient accédé et téléchargé des informations sur les clients à partir de nos bases de données et d’un partage de fichiers pendant les périodes de février et mai », peut-on lire dans le communiqué. « L’acteur de la menace a également crypté certaines données dans notre environnement. Cependant, nous avons des sauvegardes disponibles et avons subi une perte de données limitée et un impact limité sur nos opérations.
La société promet également d’informer directement « chaque individu dont les informations personnelles ont été affectées ».
Jusqu’à présent, Affirm, EarnIn, Marqeta, Melio et Mercury – tous partenaires d’Evolve – ont reconnu qu’ils enquêtaient sur l’impact de la violation d’Evolve sur leurs clients. Lundi, le journaliste fintech Jason Mikula partagé sur X une notification que Branch, un autre partenaire d’Evolve, avait envoyée à un client. Branch n’a pas encore répondu aux demandes répétées de commentaires de TechCrunch.
