Evolve Bank and Trust は最近、33 テラバイトのユーザー データが盗まれ、150,000 件を超えるアカウントにリンクされた機密情報が漏洩し、重大なサイバー セキュリティの欠陥が明らかになったランサムウェア攻撃を公表しました。
顧客預金の消失
Evolve Bank and Trustは、33テラバイトのユーザーデータが盗まれた重大なデータ侵害を確認した。同銀行は過去1か月間この状況を把握していたが、ユーザーに開示したのは先週になってからだった。
同銀行は、4月に破産宣告をしたフィンテック企業シナプスの顧客口座を管理していた。シナプスの破綻後、エボルブを含む複数の銀行がフィンテック企業ヨッタのために預かっていた顧客預金1億900万ドルが消失したと報じられている。
ランサムウェアグループが機密データを漏洩
攻撃を実行したランサムウェア集団Lockbitは、当初の交渉が失敗したとして、Evolveに対し48時間以内に新たな交渉者を雇うよう提案し、金額は非公開の身代金を要求した。
その後、このグループは盗んだデータを流出させたが、その中にはEvolve Bank and Trustからの親ディレクトリ、トレント、圧縮アーカイブファイルが含まれていた。Lockbitは以前、連邦準備銀行のデータに米国人の銀行の機密が含まれていると主張し、そのデータを公開すると脅迫していた。
データ漏洩の一環として、ロックビットは、連邦準備制度理事会によるエボルブ銀行に対する執行措置を強調したプレス声明を発表した。同銀行は、特にフィンテックとの提携において、同銀行が安全でない、不健全な銀行業務を行っていると連邦準備制度理事会が判断したことを受けて、6月に業務停止命令に同意していた。
同銀行は身代金を支払わず、ロックビットがデータを連邦準備銀行に誤って帰属させたと主張した。
遅延通知とデータ内容
こうした出来事があったにもかかわらず、エボルブ銀行は先週、情報漏洩が公表されたときに初めて、影響を受けたフィンテック企業とエンドユーザーに通知した。同銀行は月曜日、従業員が悪意のあるリンクをクリックしたことで、5月下旬にシステムが不正な活動を経験したと報告した。エボルブは数日以内に攻撃を阻止し、5月31日以降、さらなる不正な活動は確認されていないと主張している。
盗まれたデータには、氏名、住所、社会保障番号、納税者番号、生年月日、口座残高、電子メールアドレスなどの個人識別情報(PII)が含まれています。データは、Bitfinex、Nomad、Copper Bankingなどの企業に関連する155,586のアカウントにリンクされています。
報告と法的措置
Fintech Business Weekly の Jason Mikula 氏は、この情報漏洩について報道し、Evolve Bank が被害を受けた人々への通知が遅れたことを指摘しました。Mikula 氏は、報道後、Evolve から使用禁止命令のメールを受け取り、機密性の高い個人情報を共有する意図はなかったことを明らかにしました。
情報漏洩の影響を受けた匿名の幹部は、Evolveから確認を受けていなかったため、漏洩したファイルの提供をMikulaに求めたと報じられている。
免責事項:この記事は情報提供のみを目的としています。法律、税金、投資、財務、その他のアドバイスとして提供または使用されることを意図したものではありません。