Flagstar Bank prévient que plus de 800 000 clients américains ont vu leurs informations personnelles volées par des cybercriminels en raison d’une violation chez un fournisseur de services tiers.
Flagstar, désormais propriété de la New York Community Bank, est un fournisseur de services financiers basé dans le Michigan qui, avant son acquisition l’année dernière, était l’une des plus grandes banques des États-Unis, avec un actif total de plus de 31 milliards de dollars.
Une notification de violation de données envoyée aux clients concernés explique que Flagstar a été indirectement impacté par Fiserv, un fournisseur qu’il utilise pour le traitement des paiements et les services bancaires mobiles.
Fiserv a été piraté lors des attaques généralisées de vol de données CLOP MOVEit Transfer qui ont touché plus de 64 millions de personnes et deux mille organisations dans le monde, selon un rapport d’Emsisooft.
Les attaquants ont exploité une vulnérabilité Zero Day dans le produit MOVEit Transfer pour accéder aux systèmes de Fiserv et, à partir de là, ont volé les données client de Flagstar que le fournisseur détenait pour fournir des services.
Les types de données qui ont été compromises sont expurgés dans les exemples de lettres de notification de violation de données. Cependant, l’entrée sur le portail des violations de données du Maine répertorie au moins les noms et les numéros de sécurité sociale (SSN) volés par les acteurs malveillants.
Le nombre total de clients de Flagstar Bank touchés par cet incident est de 837 390 aux États-Unis.
Une troisième brèche en deux ans
Cette dernière violation est la troisième pour Flagstar depuis mars 2021, lorsqu’elle a révélé avoir subi une violation de la part du gang de ransomware Clop, qui, à cette époque, avait piraté son serveur de transfert de fichiers Accellion en janvier de la même année.
Sur la base des échantillons de données publiés par le groupe de ransomwares, les pirates ont réussi à voler des informations sur les clients et les employés, notamment les noms, adresses, numéros de téléphone, dossiers fiscaux et SSN.
En juin 2022, Flagstar a révélé une autre violation de son réseau d’entreprise qui a touché plus de 1,5 million de ses clients aux États-Unis.
Les données compromises lors de cet incident comprennent au moins les noms et les numéros de sécurité sociale. À l’époque, l’entreprise avait de nouveau choisi de censurer la section pertinente des échantillons de notification publiés.
Ce qui est plus inquiétant, c’est que Fiserv propose des services à des centaines de banques, qu’elle a indirectement exposés dans le passé en raison d’autres failles de sécurité.
Breachtrace a contacté Fiserv pour lui demander si la violation de MOVEit affecte davantage d’institutions financières et de leurs clients, et nous mettrons à jour ce message dès que nous recevrons une réponse.