A empresa de empréstimos “compre agora e pague depois” Affirm está alertando que os titulares de seus cartões de pagamento tiveram suas informações pessoais expostas devido a uma violação de dados em seu emissor terceirizado, o Evolve Bank & Trust (Evolve).
Affirm é uma empresa fintech que fornece alternativas amigáveis ao consumidor para opções de crédito tradicionais. Ela também oferece financiamento no ponto de venda, cartões virtuais em um aplicativo móvel e um cartão físico totalmente integrado chamado ‘Affirm Card’.
A Evolve é uma grande provedora de serviços financeiros especializada em serviços bancários de varejo e comerciais, processamento de pagamentos e serviços bancários como serviço (BaaS).
Ela tem parcerias ativas com várias empresas fintech, incluindo Shopify, Bilt, Plaid, Stripe e Mercury. Essas empresas fintech a usam para fornecer o backend bancário para seus produtos, incluindo emissão de cartões, gerenciamento de depósitos e facilitação de empréstimos.
Em junho, a gangue de ransomware LockBit alegou falsamente ter violado o Federal Reserve dos EUA e roubado 33 TB de dados.
Afirmar impactado pela violação de dados da Evolve
Em uma atualização publicada ontem, a Evolve disse que respondeu ao incidente redefinindo senhas globalmente, reconstruindo componentes críticos do Identity Access Management, incluindo o Active Directory, e várias medidas de reforço da rede.
De acordo com as últimas descobertas da investigação, há evidências de que os dados roubados incluem nomes, números de previdência social (SSNs), números de contas bancárias e informações de contato.
Affirm, um dos clientes da Evolve, agora está alertando seus clientes de que suas informações pessoais e financeiras podem ter sido expostas na violação de dados da Evolve. A Affirm compartilha dados de clientes com a Evolve conforme necessário para emitir Affirm Cards, um cartão de débito que permite que você pague por compras ao longo do tempo.
“Em 25 de junho de 2024, o Evolve Bank & Trust (“Evolve”), o emissor terceirizado do Cartão Affirm, notificou a Affirm (a Empresa) que a Evolve havia sofrido um incidente de segurança cibernética por meio do qual um terceiro obteve acesso não autorizado a informações pessoais e financeiras (“Informações Pessoais”) de clientes bancários de varejo da Evolve e clientes de seus parceiros de tecnologia financeira”, diz o documento 8-K.
“Como a Empresa compartilha as Informações Pessoais dos usuários do Cartão Affirm com a Evolve para facilitar a emissão e a manutenção dos Cartões Affirm, a Empresa acredita que as Informações Pessoais dos usuários do Cartão Affirm foram comprometidas como parte do incidente de segurança cibernética da Evolve.”
A Affirm acrescentou que a Evolve havia garantido a eles que o incidente de segurança cibernética havia sido contido. No entanto, uma investigação sobre o escopo da violação e a extensão do acesso não autorizado ainda está em andamento.
Enquanto isso, a Affirm diz que os usuários podem continuar realizando transações normalmente, já que a empresa permanece em alerta máximo para atividades potencialmente suspeitas relacionadas ao incidente.
Wise e Bilt também foram impactados
A violação na Evolve pode ter afetado diversas outras empresas de fintech nos EUA, com a Wise e a Bilt confirmando que foram impactadas.
A Wise publicou uma declaração em seu site no final da semana passada, informando aos clientes que havia compartilhado nomes completos, endereços, detalhes de contato, números de Previdência Social e outras informações confidenciais com a Evolve como parte de uma parceria entre 2020 e 2023.
A Wise garantiu aos clientes que suas contas permanecem seguras e que é seguro continuar usando seus “Wise Cards”, mas recomendou maior vigilância contra possíveis ataques de phishing.
O Bilt também notificou os clientes por meio de notificações de que sua parceria com a Evolve pode ter levado ao comprometimento de informações confidenciais dos clientes.
No entanto, um funcionário do Bilt confirmou no Reddit que eles não têm certeza se algum dado de seus clientes foi realmente exposto.
“Fornecemos este aviso por excesso de cautela, mas neste momento a Evolve não indicou quais informações de usuários do Bilt foram afetadas, se houver alguma”, postou um funcionário do Bilt no Reddit.
Semelhantemente às outras entidades, a Bilt garantiu aos usuários que suas contas permanecem seguras e que a plataforma não foi diretamente afetada; portanto, não há interrupção em suas operações.
A Evolve também prometeu enviar notificações individuais por e-mail a todas as pessoas confirmadamente afetadas pelo incidente de 8 de julho de 2024.
Devido à gravidade da violação de dados da Evole, provavelmente veremos mais empresas de fintech divulgando possíveis violações de dados à medida que a investigação continua.