Последняя атака LockBit показывает, почему финтех нуждается в большем доверии
Последний взлом компании LockBit, заявившей о взломе Казначейства США, а вместо этого выложившей в темную паутину 33 терабайта данных, полученных от банковского и финтех-провайдера Evolve, показывает, насколько уязвимы финтех-компании перед кибератаками.
Компания Evolve объявила о взломе 26 июня, разместив на своем сайте уведомление, в котором говорится, что в результате взлома была обнаружена персональная информация (PII), включая имена клиентов, номера социального страхования, даты рождения и информацию о счетах, что имеет серьезные последствия для пострадавших лиц и компаний.
Evolve начала уведомлять пострадавшие стороны 8 июля. Компания, предоставляющая финансовые услуги, отследила, что атака произошла из-за фишингового письма, в котором сотрудник по ошибке перешел по вредоносной интернет-ссылке.
"Мы отказались платить выкуп, который требовал агент угроз. В результате произошла утечка загруженных данных. Они также ошибочно приписали источник данных Федеральному резервному банку", - говорится в недавнем обновлении Evolve, опубликованном на сайте компании.
Атака немедленно вызвала шок в сообществе финтех-стартапов и их основных спонсоров. Affirm, Airwallex, Bond (теперь часть FIS), Branch, Dave, EarnIn, Marqeta, Mastercard, Melio, Mercury, PrizePool, Step, Stripe, TabaPay и Visa - все они являются клиентами Evolve.
Атака вымогателей показывает, как организация, подверженная риску, может поставить под угрозу всю экосистему финтеха. Предупреждение Федеральной резервной системы США, сделанное всего за две недели до взлома, выражает обеспокоенность по поводу многочисленных партнерских отношений банка с финтех-провайдерами, предоставляющими банковские продукты и услуги широкому кругу клиентов. Проверки, проведенные в 2023 году, показали, что Evolve применял небезопасную и несостоятельную банковскую практику, не внедрив эффективную систему управления рисками для своих финтех-партнерств.
Федеральная резервная система США потребовала от банка усилить методы управления рисками для устранения потенциальных рисков, включая риски несоблюдения требований и мошенничества, путем осуществления надлежащего надзора и мониторинга этих отношений. К сожалению, Affirm не смог в полной мере отреагировать и выполнить все требования ФРС, что могло бы предотвратить более широкие последствия утечки информации среди его многочисленных финтех-партнеров, включая стартапы.
0 комментариев