FinWise Bank avertit au nom des entreprises clientes qu’elle a subi une violation de données après qu’un ancien employé a accédé à des fichiers sensibles après la fin de son emploi.
« Le 31 mai 2024, FinWise a connu un incident de sécurité des données impliquant un ancien employé qui a accédé aux données de FinWise après la fin de son emploi », peut-on lire dans une notification de violation de données envoyée par FinWise au nom d’American First Finance (AFF).
American First Finance (AFF) est une entreprise qui offre des produits de financement à la consommation, y compris des prêts à tempérament et des programmes de location-acquisition, pour une gamme diversifiée de produits et de services. Les clients utilisent AFF pour demander et gérer les prêts, l’entreprise s’occupant des services, de la configuration du compte, du processus de remboursement et du support client.
FinWise s’associe à American First Finance en servant de banque qui émet et finance ces prêts.
Selon un document déposé auprès du bureau du procureur général du Maine, American First Finance a révélé que la violation de données bancaires FinWise avait eu un impact sur les données de 689 000 de ses clients. Le dépôt comprenait une lettre de notification préparée par FinWise au nom d’American First Finance, confirmant que la banque elle-même était à l’origine de l’incident.
FinWise a déclaré que des fichiers contenant des informations sur les clients, y compris les noms complets et d’autres éléments de données personnelles, avaient été consultés pendant la violation, mais a expurgé la liste complète des notifications de violation de données exposées.
L’entreprise n’a pas révélé comment l’ancien employé avait pu accéder à ces données après qu’il n’était plus employé ni le nombre total de personnes touchées par la violation de FinWise.
Dès la découverte, la banque a lancé une enquête auprès de professionnels externes de la cybersécurité pour évaluer l’étendue de l’exposition.
FinWise affirme avoir renforcé les contrôles internes pour réduire le risque d’incidents similaires et offre 12 mois de services gratuits de surveillance du crédit et de protection contre le vol d’identité aux personnes touchées.
Breachtrace a contacté Finwise Bank pour en savoir plus sur la violation, mais un porte-parole de FinWise a déclaré qu’ils ne commentaient pas les litiges en cours.
Cependant, la société a partagé un lien vers un récent dépôt trimestriel auprès de la SEC (formulaire 10-Q du 30 juin 2025), dans lequel la société note qu’environ 600 000 personnes ont été touchées, un nombre similaire à celui cité par American First Finance.
L’entreprise fait maintenant face à de multiples recours collectifs liés à la violation de données.