La société de transfert d'argent et de technologie financière Wise a annoncé vendredi que certaines des données personnelles de ses clients pourraient avoir été volées lors de la récente violation de données chez Evolve Bank and Trust .
La nouvelle souligne que les conséquences de la violation de données Evolve sur les sociétés tierces – ainsi que sur leurs clients et utilisateurs – ne sont toujours pas claires, et il est probable qu'elles incluent des sociétés et des startups encore inconnues.
Dans une déclaration publiée sur son site officiel , Wise a écrit que la société avait travaillé avec Evolve de 2020 à 2023 « pour fournir les détails du compte en USD ». Et étant donné qu'Evolve a été récemment piraté, « les informations personnelles de certains clients de Wise peuvent avoir été impliquées ».
"Nous enverrons un e-mail à tous les clients de Wise qui, selon nous, pourraient avoir été directement affectés par cette violation de données", a écrit la société.
Wise a déclaré avoir partagé les données personnelles des clients américains avec Evolve, des informations comprenant les noms, adresses, date de naissance, coordonnées et numéros de sécurité sociale ou numéro d'identification d'employeur. Pour les clients non américains, Wise a également partagé « un autre numéro de pièce d’identité ».
À ce stade, on ne sait pas exactement combien de clients Wise ont été concernés, car la société a écrit qu'elle « enquêtait toujours activement ».
Un porte-parole de Wise a déclaré à TechCrunch que la société enquêtait toujours et qu'elle « contactait directement les clients qui pourraient avoir été affectés par cette violation ».
"Les systèmes de Wise n'ont pas été compromis et nos clients peuvent accéder à leurs comptes en toute sécurité", a déclaré le porte-parole dans un e-mail.
Lorsqu'il a été contacté par TechCrunch pour commenter, lui demandant si Evolve savait combien d'entreprises partenaires - anciennes et actuelles - et d'utilisateurs finaux ont été affectés par la violation, et si Evolve les avait déjà tous contactés, le porte-parole d'Evolve, Eric Helvie, a refusé de commenter et a fait référence à la déclaration officielle de l'entreprise sur son site Internet .
Au moment d'écrire ces lignes, le communiqué indique qu'Evolve « continue de travailler 24 heures sur 24 pour répondre au récent incident de cybersécurité » et promet de fournir d'autres mises à jour. La société a déclaré que la violation était une attaque de ransomware par le gang de cybercriminalité LockBit, due au fait qu'un employé avait cliqué sur un lien malveillant en mai de cette année.
"Il n'y a aucune preuve que les criminels ont accédé aux fonds des clients, mais il semble qu'ils aient accédé et téléchargé des informations sur les clients à partir de nos bases de données et d'un partage de fichiers au cours des périodes de février et mai", indique le communiqué. « L’acteur malveillant a également chiffré certaines données au sein de notre environnement. Cependant, nous disposons de sauvegardes disponibles et avons connu une perte de données et un impact limités sur nos opérations.
L’entreprise s’engage également à informer directement « chaque personne dont les informations personnelles ont été affectées ».
Jusqu'à présent, Affirm, EarnIn, Marqeta, Melio et Mercury – tous partenaires d'Evolve – ont reconnu qu'ils enquêtaient sur l'impact de la violation d'Evolve sur leurs clients. Lundi, le journaliste fintech Jason Mikula a partagé sur X une notification que Branch, un autre partenaire d'Evolve, avait envoyée à un client. Branch n'a pas encore répondu aux demandes répétées de commentaires de TechCrunch.