Şimdi al, sonra öde kredi şirketi Affirm, ödeme kartı sahiplerinin kişisel bilgilerinin, üçüncü taraf kartı veren kuruluşu Evolve Bank & Trust’ta (Evolve) yaşanan veri ihlali nedeniyle ifşa olduğu konusunda uyardı.
Affirm, geleneksel kredi seçeneklerine tüketici dostu alternatifler sunan bir fintech firmasıdır. Ayrıca satış noktası finansmanı, mobil uygulamada sanal kartlar ve ‘Affirm Card’ adı verilen tamamen entegre bir fiziksel kart sunmaktadır.
Evolve, perakende ve ticari bankacılık, ödeme işleme ve hizmet olarak bankacılık (BaaS) konusunda uzmanlaşmış büyük bir finansal hizmetler sağlayıcısıdır.
Shopify, Bilt, Plaid, Stripe ve Mercury dahil olmak üzere birden fazla fintech şirketiyle aktif ortaklıkları bulunmaktadır. Bu fintech şirketleri, kart çıkarma, mevduatları yönetme ve kredileri kolaylaştırma gibi ürünlerine bankacılık arka ucu sağlamak için bunu kullanır.
Haziran ayında LockBit fidye yazılımı çetesi, ABD Merkez Bankası’nı ihlal ettiklerini ve 33 TB veri çaldıklarını iddia etti.
Ancak araştırmacılar verileri inceledikten sonra, verilerin Evolve Bank & Trust’tan çalındığını tespit etti ve BleepingComputer, verilerin kendilerine ait olduğunu doğruladı.
“Evolve şu anda bilinen bir siber suç örgütünü içeren bir siber güvenlik olayını araştırıyor. Bu kötü aktörlerin yasadışı olarak elde edilen verileri karanlık web’de yayınladığı anlaşılıyor,” dedi bir Evolve Sözcüsü BleepingComputer’a.
Affirm, Evolve veri ihlalinden etkilendi
Evolve, dün yayınladığı güncellemede olaya yanıt olarak parolaları dünya genelinde sıfırladığını, Active Directory de dahil olmak üzere kritik Kimlik Erişim Yönetimi bileşenlerini yeniden yapılandırdığını ve çeşitli ağ güçlendirme önlemleri aldığını duyurdu.
Son soruşturma bulgularına göre, çalınan verilerin arasında isimler, Sosyal Güvenlik Numaraları (SSN’ler), banka hesap numaraları ve iletişim bilgileri yer alıyor.
Evolve’un müşterilerinden biri olan Affirm, müşterilerini kişisel ve finansal bilgilerinin Evolve veri ihlalinde ifşa olmuş olabileceği konusunda uyarıyor. Affirm, zaman içinde satın alımlar için ödeme yapmanıza olanak tanıyan bir banka kartı olan Affirm Kartları’nı vermek için gerekli olduğu üzere müşteri verilerini Evolve ile paylaşıyor.
“25 Haziran 2024’te, Affirm Card’ın üçüncü taraf ihraççısı olan Evolve Bank & Trust (“Evolve”), Affirm’e (Şirket), Evolve’un, üçüncü bir tarafın Evolve perakende bankacılık müşterilerinin ve finansal teknoloji ortaklarının müşterilerinin kişisel bilgilerine ve finansal bilgilerine (“Kişisel Bilgiler”) yetkisiz erişim sağladığı bir siber güvenlik olayı yaşadığını bildirdi,” 8-K dosyasında yer alıyor.
“Şirket, Affirm Kart kullanıcılarının Kişisel Bilgilerini, Affirm Kartlarının verilmesini ve servis edilmesini kolaylaştırmak amacıyla Evolve ile paylaştığı için, Şirket, Affirm Kart kullanıcılarının Kişisel Bilgilerinin Evolve’un siber güvenlik olayının bir parçası olarak tehlikeye atıldığına inanmaktadır.”
Affirm, Evolve’un kendilerine siber güvenlik olayının kontrol altına alındığına dair güvence verdiğini ekledi. Ancak, ihlalin kapsamı ve yetkisiz erişimin kapsamına ilişkin soruşturma hala devam ediyor.
Bu arada Affirm, şirketin olayla bağlantılı potansiyel şüpheli faaliyetlere karşı yüksek alarmda olması nedeniyle kullanıcıların normal şekilde işlem yapmaya devam edebileceğini söylüyor.
Wise ve Bilt de etkilendi
Evolve’daki ihlalin ABD’deki diğer fintech şirketlerini de etkileme olasılığı yüksek; Wise ve Bilt de etkilendiklerini doğruladı.
Wise, geçen hafta sonu internet sitesinde bir açıklama yayınlayarak, müşterilerinin tam adlarını, adreslerini, iletişim bilgilerini, Sosyal Güvenlik numaralarını ve diğer hassas bilgilerini 2020-2023 yılları arasında Evolve ile yaptığı ortaklık kapsamında paylaştığını bildirdi.
Wise, müşterilerine hesaplarının güvende olduğunu ve ‘Wise Kartlarını’ kullanmaya devam etmenin güvenli olduğunu garanti etti ancak olası kimlik avı saldırılarına karşı daha dikkatli olunmasını önerdi.
Bilt ayrıca, Evolve ile olan ortaklığının hassas müşteri bilgilerinin tehlikeye girmesine yol açmış olabileceği konusunda müşterilerini bildirimler yoluyla uyardı.
Ancak bir Bilt çalışanı Reddit’te, müşterilerinin verilerinin gerçekten ifşa olup olmadığından emin olmadıklarını doğruladı.
Bilt çalışanlarından biri Reddit’te “Bu bildirimi ihtiyatı elden bırakmamak için yaptık ancak Evolve henüz herhangi bir Bilt kullanıcı bilgisinin etkilenip etkilenmediğini belirtmedi” ifadelerini kullandı.
Diğer kuruluşlarda olduğu gibi Bilt de kullanıcılarına hesaplarının güvende olduğunu ve platformun doğrudan etkilenmediğini, dolayısıyla operasyonlarında herhangi bir aksama olmadığını garanti etti.
Evolve ayrıca 8 Temmuz 2024’te yaşanan olaydan etkilendiği doğrulanan tüm kişilere bireysel bildirimler e-postayla gönderme sözü verdi.
Evole veri ihlalinin ciddiyeti nedeniyle, soruşturma devam ederken daha fazla fintech şirketinin potansiyel veri ihlallerini ifşa etmesine tanık olmamız muhtemel.