La empresa de préstamos “Compre ahora, pague después”, Affirm, advierte que la información personal de sus titulares de tarjetas de pago ha quedado expuesta debido a una violación de datos en su emisor externo, Evolve Bank & Trust (Evolve).
Affirm es una empresa de tecnología financiera que ofrece alternativas fáciles de usar a las opciones de crédito tradicionales. También ofrece financiación en el punto de venta, tarjetas virtuales en un aplicación movily una tarjeta física totalmente integrada llamada “Affirm Card”.
Evolve es un proveedor líder de servicios financieros que se especializa en banca minorista y comercial, procesamiento de pagos y banca como servicio (BaaS).
Tiene asociaciones activas con varias empresas de tecnología financiera, incluidas Shopify, Bilt, Plaid, Stripe y Mercury. Estas empresas de tecnología financiera lo utilizan para proporcionar el respaldo bancario de sus productos, incluida la emisión de tarjetas, la gestión de depósitos y la facilitación de préstamos.
En junio, el grupo de ransomware LockBit afirmó falsamente haber pirateado la Reserva Federal de EE. UU. y haber robado 33 TB de datos.
Sin embargo, después de que los investigadores analizaron los datos, se determinó que fueron robados de Evolve Bank & Trust, quienes confirmaron a BleepingComputer que los datos les pertenecían.
“Evolve está investigando actualmente un incidente de ciberseguridad que involucra a una conocida organización cibercriminal. Parece que estos actores maliciosos han estado difundiendo datos obtenidos ilegalmente en la web oscura”, dijo un portavoz de Evolve a BleepingComputer.
Affirm afectado por la violación de datos de Evolve
En un actualización publicada ayerEvolve dijo que respondió al incidente restableciendo contraseñas globalmente, reconstruyendo componentes críticos de administración de acceso a identidades, incluido Active Directory, y tomando varias medidas para fortalecer la red.
Según los últimos hallazgos de la investigación, hay evidencia de que los datos robados incluyen nombres, números de seguro social (SSN), números de cuentas bancarias e información de contacto.
Affirm, uno de los clientes de Evolve, ahora advierte a sus clientes que su información personal y financiera puede haber quedado expuesta en la violación de datos de Evolve. Affirm comparte datos de clientes con Evolve según sea necesario para emitir Tarjetas Affirm, una tarjeta de débito que le permite pagar sus compras a lo largo del tiempo.
“El 25 de junio de 2024, Evolve Bank & Trust (“Evolve”), el tercero emisor de la tarjeta Affirm, notificó a Affirm (la Compañía) que Evolve había experimentado un incidente de ciberseguridad en el que un tercero obtuvo acceso no autorizado a la información personal y financiera (“Información personal”) de los clientes de banca minorista de Evolve y de sus socios de tecnología financiera. » lee archivos 8-K.
“Debido a que la Compañía comparte la información personal de los usuarios de la tarjeta Affirm con Evolve para facilitar la emisión y administración de las tarjetas Affirm, la Compañía cree que la información personal de los usuarios de la tarjeta Affirm se vio comprometida en relación con el incidente de ciberseguridad de Evolve. »
Affirm agregó que Evolve les aseguró que el incidente de ciberseguridad había sido contenido. Sin embargo, aún está en curso una investigación sobre la magnitud de la infracción y el alcance del acceso no autorizado.
Al mismo tiempo, Affirm dice que los usuarios pueden continuar realizando transacciones con normalidad, ya que la compañía permanece en alerta máxima ante cualquier actividad potencialmente sospechosa relacionada con el incidente.
Wise y Bilt también afectados
La infracción en Evolve afectó potencialmente a varias otras empresas de tecnología financiera en los EE. UU., y Wise y Bilt confirmaron que se vieron afectadas.
Wise publicó un comunicado en su sitio web la semana pasada, informando a los clientes que había compartido sus nombres completos, direcciones, datos de contacto, números de seguro social y otra información confidencial con Evolve como parte de una asociación entre 2020 y 2023.
Wise aseguró a sus clientes que sus cuentas permanecen seguras y pueden seguir usando sus Wise Cards de forma segura, pero recomendó una mayor vigilancia contra posibles ataques de phishing.
Bilt también informó a sus clientes por notificaciones que su asociación con Evolve puede haber llevado a comprometer información confidencial del cliente.
Sin embargo, un empleado de Bilt confirmó en Reddit que no sabía si los datos de sus clientes realmente habían sido expuestos.
«Hemos proporcionado este aviso como medida de precaución, pero en este momento Evolve no ha indicado qué información del usuario de Bilt, si la hubo, se vio afectada», publicó un empleado de Bilt en Reddit.
Al igual que otras entidades, Bilt ha asegurado a los usuarios que sus cuentas permanecen seguras y que la plataforma no se ha visto afectada directamente; por lo tanto, no hay ninguna interrupción en sus operaciones.
Evolve también prometió enviar notificaciones individuales por correo electrónico a todos los que se haya confirmado que se vieron afectados por el incidente del 8 de julio de 2024.
Debido a la gravedad de la violación de datos de Evole, es probable que veamos a otras empresas de tecnología financiera revelar posibles violaciones de datos a medida que continúa la investigación.
