Evolve Bank & Trust (Evolve) informiert 7,6 Millionen Amerikaner, deren Daten bei einem kürzlich erfolgten Angriff mit der Ransomware LockBit gestohlen wurden, über eine Datenschutzverletzung.
Im Juni veröffentlichte LockBit falsche Behauptungen, es sei in die Daten der US-Notenbank eingedrungen. Später wurde festgestellt, dass die durchgesickerten Daten tatsächlich der Evolve Bank & Trust gehörten.
Evolve bestätigte gegenüber BleepingComputer, dass die Daten ihnen gehörten, und leitete eine Untersuchung ein, um den Umfang und das Ausmaß der Datenverletzung zu ermitteln.
Die Untersuchung ergab, dass ein Angestellter auf einen bösartigen Link klickte, was dazu führte, dass ein Lockbit-Mitglied unbefugten Zugriff auf die Datenbank und die Dateifreigaben von Evolve erlangte, die der Angreifer herunterlud.
Evolve erklärte, dass die Kundengelder weiterhin sicher seien, wies aber darauf hin, dass der Angriff mehrere Fintech-Kunden betroffen habe. Affirm, Wise und Bilt bestätigten unabhängig voneinander, dass der Lockbit-Angriff bei Evolve ihre Kunden betraf.
Wie im letzten Status-Update von Evolve versprochen, hat das Unternehmen damit begonnen, Benachrichtigungen über die Datenschutzverletzung an Personen zu versenden, deren persönliche Daten während des Angriffs gestohlen wurden. In einem Antrag an das Büro des Generalstaatsanwalts von Maine erklärt Evolve, dass 7.640.112 Personen von der Sicherheitsverletzung betroffen waren.
"Am 29. Mai 2024 stellte Evolve fest, dass einige seiner Systeme nicht ordnungsgemäß funktionierten", heißt es in der Mitteilung an die betroffenen Personen.
"Während es zunächst so aussah, als ob es sich um einen Hardwarefehler handelte, erfuhren wir später, dass es sich um unautorisierte Aktivitäten handelte.
Obwohl die Kompromittierung am 29. Mai entdeckt wurde, heißt es in der Benachrichtigung über die Datenschutzverletzung, dass der ursprüngliche Einbruch am 09. Februar 2024 stattfand, was den Angreifern eine Verweildauer von fast vier Monaten im Netzwerk von Evolve ermöglicht.
Evolve bietet ab sofort zwei Jahre lang Kreditüberwachungs- und Identitätsschutzdienste für in den USA ansässige Personen und Dark-Web-Überwachungsdienste für international ansässige Personen an. Die Empfänger müssen sich bis zum 31. Oktober 2024 anmelden.
Evolve hat in dem Musterbrief, den es den Behörden vorgelegt hat, nicht angegeben, welche Arten von Daten offengelegt wurden, so dass dieser Teil unbekannt bleibt.
Den Betroffenen wird geraten, sich vor unaufgeforderten Mitteilungen in Acht zu nehmen, ihre Kontoauszüge und ihren Kreditverlauf genau zu überwachen und verdächtige Aktivitäten den Behörden zu melden.
Evolve unterhält aktive Partnerschaften mit anderen Unternehmen, darunter Shopify, Stripe und Mercury. Diese Unternehmen haben jedoch noch nicht bekannt gegeben, ob sie vom Lockbit-Ransomware-Vorfall betroffen sind.
Shopify hat kürzlich bestritten, dass es zu einem Datenschutzverstoß gekommen ist, nachdem ein Bedrohungsakteur versucht hatte, die angeblichen Daten von 180.000 Nutzern der E-Commerce-Plattform zu verkaufen.
Zu den gemeinsam genutzten Datenbeispielen gehören vollständige Namen, E-Mail-Adressen, Telefonnummern, Bestelldaten und Shopify-Kontodaten.
Das Unternehmen erklärte gegenüber BleepingComputer, dass der gemeldete Datenverlust durch eine App eines Drittanbieters verursacht wurde, die die betroffenen Kunden in Kürze benachrichtigen wird.
