Mercredi, Evolve Bank and Trust, une institution financière prisée des startups fintech , a annoncé avoir été victime d'une cyberattaque et d'une violation de données qui auraient pu affecter également ses entreprises partenaires.
L'incident, selon le communiqué de la société , impliquait « les données et informations personnelles de certains clients de la banque de détail Evolve et des clients des partenaires de technologie financière ».
Lorsqu'il a été contacté par TechCrunch, le chef des communications d'Evolve, Thomas Holmes, a déclaré que l'incident impliquait « une organisation cybercriminelle connue ».
"Il semble que ces mauvais acteurs aient publié des données obtenues illégalement sur le dark web", a déclaré Holmes, refusant de commenter davantage.
Les cybercriminels responsables de la violation semblent être le célèbre gang de ransomwares LockBit, qui a publié des données prétendument volées à Evolve sur son site de fuite sur le dark web.
Evolve répertorie sur son site une série d'entreprises comme partenaires qui s'appuient sur le géant bancaire pour proposer certains de leurs services financiers et de prêt. Pour comprendre l'impact de la violation Evolve sur ces entreprises, TechCrunch a contacté Affirm, Airwallex, Alloy, Bond, Branch, Dave, EarnIn, Marqeta, Mastercard, Melio, Mercury, PrizePool, Step, Stripe, TabaPay et Visa.
Seuls Affirm, EarnIn, Marqeta et Melio ont répondu à la demande de commentaires.
Le porte-parole d'Affirm, Matt Gross, a déclaré à TechCrunch que la société enquêtait sur l'incident et "communiquera directement avec tous les consommateurs concernés à mesure que nous en apprendrons davantage".
Affirm a également alerté ses clients dans un article sur X , écrivant que la violation d'Evolve « pourrait avoir compromis certaines données et informations personnelles » des clients d'Affirm. La société a également déclaré qu'il était possible d'utiliser sa carte et ses comptes Money en toute sécurité et que son enquête sur l'impact de la violation était toujours en cours.
La porte-parole d'EarnIn, Stephanie Borman, a déclaré que la société était "au courant de cet incident et le surveillait de près".
La porte-parole de Marqeta, Kelly Kraft, a déclaré à TechCrunch que la société était au courant de la violation et que « Evolve prend en charge une petite partie de notre activité globale ».
"Nos clients concernés par cet incident ont été informés et nous travaillons en étroite collaboration avec Evolve pour comprendre leurs efforts de remédiation et comment nos clients communs peuvent être affectés", a déclaré Kraft dans un e-mail.
Le co-fondateur et PDG de Melio, Matan Bar, a déclaré à TechCrunch que la société est consciente de la violation et « travaille avec diligence avec eux pour déterminer si Melio ou l'un de nos clients en a été affecté ». Nous tiendrons nos clients informés de toute information pertinente au fur et à mesure que nous en apprendrons davantage. Il n'y a eu aucune perturbation des opérations de Melio à la suite de cet incident.
Un autre partenaire d'Evolve, la startup fintech Mercury, a déclaré sur X que la violation d'Evolve avait eu un impact sur les enregistrements associés à l'entreprise, "y compris certains numéros de compte, soldes de dépôt, noms de propriétaires d'entreprise et e-mails".
À mesure que davantage d'entreprises concernées se manifesteront, le véritable impact de la violation d'Evolve sur « certains clients des banques de détail d'Evolve et des clients des partenaires de technologie financière » — comme l'a dit l'entreprise — deviendra probablement plus clair.
Evolve a récemment fait la une des journaux sur d'autres questions liées à ses partenariats fintech. Le 14 juin, la Réserve fédérale a ordonné à Evolve Bank « de renforcer ses programmes de gestion des risques autour des partenariats fintech ainsi que les lois anti-blanchiment d'argent ».
Selon un communiqué de la Fed , des examens menés en 2023 ont révélé qu'Evolve « s'est engagé dans des pratiques bancaires dangereuses et malsaines en ne mettant pas en place un cadre efficace de gestion des risques pour ces partenariats » avec des sociétés de technologie financière.
La banque a également été associée à l' effondrement de la start-up de banque en tant que service Synapse
, qui fournissait un service permettant à d'autres – principalement des
fintechs – d'intégrer des services bancaires dans leurs offres.
Lorsque Synapse a déposé son bilan cette année et qu'une tentative
d'acquisition de ses actifs par TabaPay a échoué, la société a pointé du doigt sa banque partenaire, Evolve – une saga qui continue de se dérouler.