La société de transfert d'argent et de technologie financière Wise a annoncé vendredi que certaines données personnelles de ses clients pourraient avoir été volées lors de la récente violation de données chez Evolve Bank and Trust.
Les nouvelles soulignent que les répercussions de la violation de données chez Evolve sur les entreprises tierces - et leurs clients et utilisateurs - sont encore floues, et il est probable qu'elles incluent des entreprises et des start-ups encore inconnues.
Dans un communiqué publié sur son site officiel, Wise a écrit que la société avait travaillé avec Evolve de 2020 à 2023 "pour fournir des détails de compte en USD." Et étant donné que Evolve a récemment été piraté, "certaines informations personnelles des clients de Wise ont pu être impliquées."
"Nous enverrons un e-mail à tous les clients de Wise que nous pensons avoir été affectés par cette violation de données directement", a écrit la société.
Wise a déclaré avoir partagé les données personnelles des clients américains avec Evolve, des informations qui comprenaient des noms, des adresses, des dates de naissance, des coordonnées et des numéros de sécurité sociale ou des numéros d'identification d'employeur. Pour les clients non américains, Wise a également partagé "un autre numéro de document d'identité".
À ce stade, il n'est pas clair combien de clients de Wise ont été affectés, car la société a écrit qu'elle est encore "en cours d'enquête active."
Un porte-parole de Wise a déclaré à TechCrunch que la société enquête toujours et qu'elle "contacte directement les clients qui pourraient avoir été affectés par cette faille."
"Les systèmes de Wise n'ont pas été compromis et nos clients peuvent accéder à leurs comptes en toute sécurité", a déclaré le porte-parole dans un e-mail.
Lorsqu'on a demandé à Evolve s'ils savaient combien de sociétés partenaires - anciennes et actuelles - et d'utilisateurs finaux avaient été affectés par la violation, et si Evolve les avait déjà tous contactés, le porte-parole d'Evolve, Eric Helvie, a refusé de commenter et a renvoyé au communiqué officiel de l'entreprise sur son site Web.
À l'heure actuelle, le communiqué d'Evolve indique que l'entreprise "continue de travailler jour et nuit pour répondre à l'incident récent de cybersécurité" et promet de fournir d'autres mises à jour. La société a déclaré que la violation était une attaque de ransomware par le groupe de cybercriminalité LockBit, due à un employé cliquant sur un lien malveillant en mai de cette année.
"Il n'y a aucune preuve que les criminels ont accédé à des fonds de clients, mais il semble qu'ils ont accédé et téléchargé des informations clients à partir de nos bases de données et d'un partage de fichiers pendant des périodes en février et mai", indiquait le communiqué. "L'acteur de la menace a également crypté certaines données au sein de notre environnement. Cependant, nous disposons de sauvegardes disponibles et avons subi des pertes de données limitées et un impact sur nos opérations."
La société promet également de notifier directement "chaque personne dont les informations personnelles ont été affectées."
À ce jour, Affirm, EarnIn, Marqeta, Melio et Mercury - tous partenaires d'Evolve - ont reconnu qu'ils étudiaient comment la violation d'Evolve a impacté leurs clients. Lundi, le journaliste fintech Jason Mikula a partagé sur X une notification que Branch, un autre partenaire d'Evolve, avait envoyée à un client. Branch doit encore répondre aux demandes répétées de commentaires de TechCrunch.
Cette histoire a été mise à jour pour inclure la déclaration du porte-parole de Wise.
