O Evolve Bank & Trust afirma que os dados de mais de 7,6 milhões de clientes foram roubados durante a invasão do LockBit no final de maio, de acordo com um novo registro feito ao procurador-geral do Maine.
O arquivamento listas o número total de pessoas afetadas (incluindo residentes) foi de 7.640.112.
É a primeira vez que a Evolve confirma a escala do roubo de dados — que afetou pelo menos três de seus principais parceiros, passados e presentes — e espera que o número aumente à medida que suas investigações continuam.
Tanto a Wise quanto a Affirm, empresas internacionais de transferência de dinheiro e de compra agora e pagamento depois, respectivamente, confirmaram em documentos arquivados na SEC na semana passada que ambas foram materialmente afetadas pela invasão na Evolve.
Wise rompeu laços com a Evolve no ano passado, mas ainda foi impactado por o incidente. Mercúrio também sugeriu que poderia ser afetado.
No entanto, nenhum dos parceiros da empresa revelou ainda até que ponto o equipe de ransomware que a polícia alega ser chefiada por Dmitry Khoroshev conseguiu roubar os dados de seus clientes.
O registro abordamos todos os 15 parceiros listados no site da Evolve e só recebemos uma resposta de uma outra empresa, a Melia, e a última coisa que ouvimos foi que ela estava investigando qualquer impacto potencial, em vez de confirmar algo.
Quanto ao Evolve, seu carta aos clientes diz: “Em 29 de maio de 2024, a Evolve identificou que alguns de seus sistemas não estavam funcionando corretamente.
“Embora inicialmente parecesse uma falha de hardware, posteriormente descobrimos que era uma atividade não autorizada.
“A Evolve iniciou prontamente seus processos de resposta a incidentes e interrompeu o ataque. Nenhuma nova atividade não autorizada nos sistemas da Evolve foi identificada desde 31 de maio de 2024. Uma investigação com a assistência de uma empresa de segurança cibernética foi iniciada para investigar o que aconteceu e quais dados podem ter sido impactados. A Evolve também notificou as autoridades policiais e trabalhou para adicionar mais proteções para fortalecer seus sistemas.”
O provedor de serviços bancários como serviço continuou dizendo que, embora possa ter colocado em prática seu manual de resposta a incidentes quando identificou sinais de jogo sujo, o fornecedor levou cerca de quatro meses para detectar a intrusão.
“Não há evidências de que os agentes da ameaça acessaram fundos de clientes, mas parece que eles acessaram e baixaram informações de clientes dos bancos de dados da Evolve e de um compartilhamento de arquivos durante os períodos de fevereiro e maio de 2024.”
As cartas enviadas aos indivíduos afetados geralmente são anexadas aos processos junto aos procuradores-gerais dos estados, mas normalmente omitem detalhes como os tipos específicos de dados roubados em cada caso.
Alguns clientes podem ter tido nomes e endereços roubados, enquanto outros podem ter tido seus números de previdência social roubados também, por exemplo.
Sabemos pela Evolve divulgação anterior que os números de SSN, contas bancárias e informações de contato “da maioria” de seus clientes e parceiros bancários pessoais podem ser afetados, assim como alguns funcionários.
Essa divulgação, atualizada pela última vez em 8 de julho, também declarou que as cartas de notificação desta semana devem ser uma primeira rodada, com rodadas adicionais menores de notificações nas semanas seguintes.
A Evolve ofereceu aos indivíduos impactados 24 meses de monitoramento de crédito, como geralmente é o caso em grandes vazamentos de dados. As vítimas têm até 31 de outubro para se inscrever nesses serviços, e as instruções completas sobre como fazer isso estão incluídas em um e-mail a ser enviado nas próximas duas semanas.
Finalizando a carta, a Evolve continuou dizendo que “tinha um número significativo de medidas de segurança cibernética em vigor”, que agora foram ainda mais reforçadas.
O incidente, no entanto, ocorreu no contexto de uma severa repreendendo do Federal Reserve Board dos EUA em 14 de junho, menos de quinze dias antes de anunciar que os dados haviam sido roubados.
Após uma revisão da Evolve em 2023, o conselho não ficou nada satisfeito com a empresa sediada no Arkansas por uma série de razões, incluindo “deficiências” em programas de combate à lavagem de dinheiro, gerenciamento de riscos e conformidade do consumidor.
Foi avaliado que a empresa se envolveu em “práticas bancárias inseguras e insalubres”, principalmente em relação à ausência de uma estrutura eficaz de gerenciamento de risco para seu conjunto de parceiros, entre outras questões, o que resultou na emissão de uma ação de execução.
Isso, é claro, aconteceu poucas semanas depois que a Evolve tomou conhecimento de que a LockBit estava vasculhando seus sistemas durante a maior parte de quatro meses — um ano de 2024 nada ideal para a empresa financeira.
A miséria adora companhia
Pelo menos a Evolve não está sozinha nos poços dos registros de “violação de dados” desta semana. A Financial Business and Consumer Solutions (FBCS) também Atualizada O procurador-geral do Maine fala sobre o estado da investigação sobre a exposição de seus próprios dados pela segunda vez em poucas semanas.
No final de junho, informamos como estava a situação do cobrador de dívidas de mal a piore agora está pior ainda com a atualização indicando que o número de indivíduos afetados já ultrapassou 4 milhões.
O ataque de fevereiro à FBCS foi originalmente programado para ter afetado cerca de 2 milhões de pessoas, de acordo com seu primeiro registro em abril. No final de junho, esse número havia subido para pouco mais de 3,4 milhões, e agora está em 4.050.711, para ser preciso.
Os dados roubados incluem nomes, números de seguridade social, datas de nascimento, informações de contas e documentos de identidade, mas nenhuma operação de crime cibernético reconhecida assumiu o crédito pelo que a FBCS chamou de “incidente cibernético”. ®
