La empresa fintech y de transferencia de dinero Wise anunció el viernes que algunos de los datos personales de sus clientes pueden haber sido robados en la reciente violación de datos en Evolve Bank and Trust.
La noticia destaca que las consecuencias de la filtración de datos de Evolve para empresas de terceros (y sus clientes y usuarios) aún no están claras, y es probable que incluya empresas y nuevas empresas que aún son desconocidas.
En un comunicado publicado en su sitio web oficialWise escribió que la compañía trabajó con Evolve desde 2020 hasta 2023 “para proporcionar detalles de la cuenta en USD”. Y dado que Evolve fue violado recientemente, “la información personal de algunos clientes de Wise puede haber estado involucrada”.
“Enviaremos correos electrónicos a todos los clientes de Wise que creemos que pueden haber sido afectados directamente por esta violación de datos”, escribió la compañía.
Wise dijo que compartió datos personales de clientes estadounidenses con Evolve, información que incluía nombres, direcciones, fecha de nacimiento, detalles de contacto y números de Seguro Social o Número de Identificación del Empleador. Para los clientes fuera de EE. UU., Wise también compartió “otro número de documento de identidad”.
En este punto, no está claro cuántos clientes de Wise se han visto afectados, ya que la compañía escribió que todavía está “investigando activamente”.
Wise no respondió a una solicitud de comentarios en la que se pedía aclarar cuántos de sus clientes habían sufrido el robo de datos.
Cuando TechCrunch lo contactó para hacer comentarios y le preguntó si Evolve sabe cuántas empresas asociadas (antiguas y actuales) y usuarios finales se han visto afectados por la infracción, y si Evolve ya se ha puesto en contacto con todos ellos, el portavoz de Evolve, Eric Helvie, declinó hacer comentarios y se refirió a comunicado oficial de la compañía en su sitio web.
En el momento de redactar este artículo, el comunicado dice que Evolve “sigue trabajando las 24 horas del día para responder al reciente incidente de ciberseguridad” y promete proporcionar más actualizaciones. La empresa dijo que la violación fue un ataque de ransomware por parte de la banda de ciberdelincuentes LockBit, debido a que un empleado hizo clic en un enlace malicioso en mayo de este año.
“No hay evidencia de que los delincuentes hayan accedido a fondos de clientes, pero parece que sí accedieron y descargaron información de clientes de nuestras bases de datos y de un recurso compartido de archivos durante los períodos de febrero y mayo”, se lee en el comunicado. “El actor de amenazas también encriptó algunos datos dentro de nuestro entorno. Sin embargo, tenemos copias de seguridad disponibles y sufrimos una pérdida de datos limitada y un impacto en nuestras operaciones”.
La empresa también promete notificar directamente a “cada individuo cuya información personal se vio afectada”.
Hasta ahora, Affirm, EarnIn, Marqeta, Melio y Mercury (todos socios de Evolve) han reconocido que están investigando cómo la infracción de Evolve afectó a sus clientes. El lunes, el periodista de tecnología financiera Jason Mikula compartido en X una notificación que Branch, otro socio de Evolve, había enviado a un cliente. Branch aún no ha respondido a las reiteradas solicitudes de comentarios de TechCrunch.