La société de prêt « Achetez maintenant, payez plus tard » Affirm prévient que les détenteurs de ses cartes de paiement ont vu leurs informations personnelles exposées en raison d'une violation de données chez son émetteur tiers, Evolve Bank & Trust (Evolve).
Affirm est une société de technologie financière qui propose des alternatives conviviales aux options de crédit traditionnelles. Elle propose également des financements au point de vente, des cartes virtuelles sur un application mobileet une carte physique entièrement intégrée appelée « Affirm Card ».
Evolve est un important fournisseur de services financiers spécialisé dans la banque de détail et commerciale, le traitement des paiements et la banque en tant que service (BaaS).
Elle entretient des partenariats actifs avec plusieurs sociétés de technologie financière, notamment Shopify, Bilt, Plaid, Stripe et Mercury. Ces sociétés de technologie financière l'utilisent pour fournir le backend bancaire de leurs produits, notamment l'émission de cartes, la gestion des dépôts et la facilitation des prêts.
En juin, le groupe de ransomware LockBit a faussement affirmé avoir piraté la Réserve fédérale américaine et volé 33 To de données.
Cependant, après que les chercheurs ont analysé les données, il a été déterminé qu'elles avaient été volées à Evolve Bank & Trust, qui a confirmé à BleepingComputer que les données leur appartenaient.
« Evolve enquête actuellement sur un incident de cybersécurité impliquant une organisation cybercriminelle connue. Il semble que ces acteurs malveillants aient diffusé des données obtenues illégalement sur le dark web », a déclaré un porte-parole d'Evolve à BleepingComputer.
Affirm impacté par la violation de données d'Evolve
Dans un mise à jour publiée hierEvolve a déclaré avoir répondu à l'incident en réinitialisant les mots de passe à l'échelle mondiale, en reconstruisant les composants critiques de gestion des accès aux identités, y compris Active Directory, et en prenant diverses mesures de renforcement du réseau.
Selon les dernières conclusions de l'enquête, il existe des preuves que les données volées comprennent des noms, des numéros de sécurité sociale (SSN), des numéros de compte bancaire et des informations de contact.
Affirm, l'un des clients d'Evolve, avertit désormais ses clients que leurs informations personnelles et financières pourraient avoir été exposées lors de la violation de données d'Evolve. Affirm partage les données clients avec Evolve comme l'exige l'émission des cartes Affirm, une carte de débit qui vous permet de régler vos achats au fil du temps.
« Le 25 juin 2024, Evolve Bank & Trust (« Evolve »), l'émetteur tiers de la carte Affirm, a informé Affirm (la Société) qu'Evolve avait connu un incident de cybersécurité au cours duquel un tiers avait obtenu un accès non autorisé aux informations personnelles et financières (« Informations personnelles ») des clients de la banque de détail d'Evolve et des clients de ses partenaires technologiques financiers. » lit le dossier 8-K.
« Étant donné que la Société partage les informations personnelles des utilisateurs de cartes Affirm avec Evolve pour faciliter l'émission et la gestion des cartes Affirm, la Société estime que les informations personnelles des utilisateurs de cartes Affirm ont été compromises dans le cadre de l'incident de cybersécurité d'Evolve. »
Affirm a ajouté qu'Evolve leur avait assuré que l'incident de cybersécurité avait été maîtrisé. Cependant, une enquête sur l'ampleur de la violation et l'étendue de l'accès non autorisé est toujours en cours.
Dans le même temps, Affirm affirme que les utilisateurs peuvent continuer à effectuer des transactions normalement, car la société reste en état d'alerte maximale pour toute activité potentiellement suspecte liée à l'incident.
Wise et Bilt également touchés
La violation chez Evolve a potentiellement affecté plusieurs autres sociétés fintech aux États-Unis, Wise et Bilt confirmant qu'elles ont été impactées.
Wise a publié un déclaration sur son site Web la semaine dernière, informant les clients qu'elle avait partagé leurs noms complets, adresses, coordonnées, numéros de sécurité sociale et autres informations sensibles avec Evolve dans le cadre d'un partenariat entre 2020 et 2023.
Wise a assuré à ses clients que leurs comptes restent sécurisés et qu'ils peuvent continuer à utiliser leurs « Wise Cards » en toute sécurité, mais a recommandé une vigilance accrue contre les attaques de phishing potentielles.
Bilt a également informé ses clients par notifications que son partenariat avec Evolve pourrait avoir conduit à la compromission d’informations sensibles sur les clients.
Cependant, un employé de Bilt a confirmé sur Reddit qu'ils ne savaient pas si les données de ses clients avaient réellement été exposées.
« Nous avons fourni cet avis par mesure de précaution, mais à ce stade, Evolve n'a pas indiqué quelles informations utilisateur de Bilt ont été affectées, le cas échéant », a publié un employé de Bilt sur Reddit.
Comme les autres entités, Bilt a rassuré les utilisateurs sur le fait que leurs comptes restent sécurisés et que la plateforme n'a pas été directement impactée ; par conséquent, il n'y a aucune perturbation de ses opérations.
Evolve a également promis d'envoyer des notifications individuelles par courrier électronique à toutes les personnes confirmées comme ayant été touchées par l'incident du 8 juillet 2024.
En raison de la gravité de la violation de données d'Evole, nous verrons probablement d'autres sociétés fintech divulguer des violations de données potentielles à mesure que l'enquête se poursuit.
