Acheter maintenant, payer plus tard La société de prêt Affirm avertit que les détenteurs de ses cartes de paiement ont vu leurs informations personnelles exposées en raison d’une violation de données chez son émetteur tiers, Evolve Bank & Trust (Evolve).
Affirm est une entreprise de technologie financière qui propose des alternatives conviviales aux options de crédit traditionnelles. Il offre également un financement au point de vente, des cartes virtuelles sur une application mobile et une carte physique entièrement intégrée appelée « Affirm Card ».’
Evolve est un important fournisseur de services financiers spécialisé dans la banque de détail et commerciale, le traitement des paiements et la banque en tant que service (BaaS).
Il a des partenariats actifs avec plusieurs sociétés de technologie financière, notamment Shopify, Bilt, Plaid, Stripe et Mercury. Ces sociétés de technologie financière l’utilisent pour fournir le backend bancaire de leurs produits, y compris l’émission de cartes, la gestion des dépôts et la facilitation des prêts.
En juin, le gang de ransomwares LockBit a faussement affirmé avoir violé la Réserve fédérale américaine et volé 33 To de données.
Cependant, après que les chercheurs ont analysé les données, il a été déterminé qu’elles avaient été volées à Evolve Bank & Trust, qui a confirmé à Breachtrace que les données leur appartenaient.
« Evolve enquête actuellement sur un incident de cybersécurité impliquant une organisation cybercriminelle connue. Il semble que ces mauvais acteurs aient publié des données obtenues illégalement, sur le dark Web », a déclaré un porte-parole d’Evolve à Breachtrace .
Affirm impacté par la violation de données Evolve
Dans une mise à jour publiée hier, Evolve a déclaré avoir réagi à l’incident en réinitialisant les mots de passe à l’échelle mondiale, en reconstruisant les composants critiques de gestion des accès aux identités, y compris Active Directory, et diverses mesures de renforcement du réseau.
Selon les dernières conclusions de l’enquête, il existe des preuves que les données volées comprennent des noms, des numéros de sécurité sociale (SSN), des numéros de compte bancaire et des coordonnées.
Affirm, l’un des clients d’Evolve, avertit désormais ses clients que leurs informations personnelles et financières pourraient avoir été exposées lors de la violation de données d’Evolve. Affirm partage les données client avec Evolve au besoin pour émettre des cartes Affirm, une carte de débit qui vous permet de payer vos achats au fil du temps.
« Le 25 juin 2024, Evolve Bank & Trust (« Evolve »), l’émetteur tiers de la carte Affirm, a informé Affirm (la Société) qu’Evolve avait connu un incident de cybersécurité au cours duquel un tiers a obtenu un accès non autorisé aux informations personnelles et financières (« Informations personnelles ») des clients de la banque de détail Evolve et des clients de ses partenaires technologiques financiers », lit-on dans le dossier 8-K.
« Parce que la Société partage les Informations personnelles des utilisateurs de la Carte Affirm avec Evolve pour faciliter l’émission et la gestion des Cartes Affirm, la Société estime que les Informations personnelles des utilisateurs de la Carte Affirm ont été compromises dans le cadre de l’incident de cybersécurité d’Evolve. »
Affirm a ajouté qu’Evolve leur avait assuré que l’incident de cybersécurité avait été maîtrisé. Cependant, une enquête sur la portée de la violation et l’étendue de l’accès non autorisé est toujours en cours.
Pendant ce temps, Affirm indique que les utilisateurs peuvent continuer à effectuer des transactions normalement, car l’entreprise reste en état d’alerte élevé en cas d’activité potentiellement suspecte liée à l’incident.
Wise et Bilt ont également été touchés
La violation chez Evolve a potentiellement affecté plusieurs autres sociétés de technologie financière aux États-Unis, Wise et Bilt confirmant qu’elles ont été touchées.
Wise a publié une déclaration sur son site Web à la fin de la semaine dernière, informant les clients qu’il avait partagé leurs noms complets, adresses, coordonnées, numéros de sécurité sociale et autres informations sensibles avec Evolve dans le cadre d’un partenariat entre 2020 et 2023.
Wise a assuré aux clients que leurs comptes restaient sécurisés et qu’il était prudent de continuer à utiliser leurs « cartes Wise », mais a recommandé une vigilance accrue contre les attaques potentielles de phishing.
Bilt a également informé ses clients via des notifications que son partenariat avec Evolve pouvait avoir conduit à la compromission d’informations sensibles sur les clients.
Cependant, un employé de Bilt a confirmé sur Reddit qu’il ne savait pas si l’une des données de ses clients avait réellement été exposée.
« Nous avons fourni cet avis par excès de prudence, mais pour le moment, Evolve n’a pas indiqué quelles informations sur les utilisateurs de Bilt, le cas échéant, ont été affectées », a déclaré un employé de Bilt sur Reddit.
De la même manière que les autres entités, Bilt a rassuré les utilisateurs que leurs comptes restaient sécurisés et que la plate-forme n’était pas directement affectée; par conséquent, il n’y a aucune perturbation de ses opérations.
Evolve a également promis d’envoyer des notifications individuelles par e-mail à toutes les personnes dont il est confirmé qu’elles ont été touchées par l’incident le 8 juillet 2024.
En raison de la gravité de la violation de données Evole, nous verrons probablement d’autres sociétés de technologie financière divulguer des violations potentielles de données au fur et à mesure que l’enquête se poursuit.