L'un des piratages bancaires les plus importants de ces dernières années vient d'être révélé au public. Dans un message publié sur son site Internet Il y a deux semaines, la banque Evolve Bank and Trust, basée en Arkansas, a informé ses clients qu'un « incident de cybersécurité » impliquant le groupe de ransomware russe LockBit avait entraîné le vol d'une quantité indéterminée d'informations sur les clients.

Le groupe de hackers, qui a été le cible d'une opération internationale d'application de la loi pendant des années, avait initialement revendiqué Le piratage provenait de la Réserve fédérale, ce qui a suscité quelques froncements de sourcils à Wall Street.

Au lieu de cela, comme le révèle le site Web du darknet du groupe, la cache de dossiers volés concernerait les clients d'Evolve Bank and Trust et ceux des sociétés FinTech partenaires, aurait y compris les noms des clients, les numéros de sécurité sociale, les dates de naissance et les scans des permis de conduire et des cartes d'identité.

Bien que nous ne connaissions pas l'ampleur exacte du piratage et des fuites, les informations de la banque position uniqueEn tant que passerelle entre la finance traditionnelle et les startups FinTech, les néo-banques pointent du doigt une situation bien plus désastreuse que beaucoup voudraient l'admettre.

De nombreuses sociétés clés de services financiers, notamment grands noms comme Wise, Mercury, Stripe, Affirm et bien d'autres, ont déjà communiqué à leurs clients que certaines de leurs donnéespeut avoir été inclus dans le piratage. J'ai personnellement reçu certains de ces e-mails provenant d'autres comptes.

Cela concerne la faillite imminente du fournisseur bancaire connexe Synapse, qui a agi comme intermédiaire entre les entreprises FinTech et les banques traditionnelles comme Evolve. Les sénateurs Sherrod Brown (Démocrate de l'Ohio), Ron Wyden (Démocrate de l'Oregon), Tammy Baldwin (Démocrate du Wisconsin) et John Fetterman (Démocrate de Pennsylvanie) envoyé une lettre Le 1er juillet, Synapse a envoyé une lettre à l'entreprise lui demandant de rembourser ses clients. La banque Evolve, un partenaire majeur de Synapse, était également visée par la lettre. Le piratage présumé ne fera qu'aggraver la situation.

Deux facteurs rendent ce prétendu piratage d’Evolve si dévastateur.

Tout d’abord, l’échelle et la portée des entreprises concernées. liste Parmi les partenaires FinTech utilisant la licence bancaire d'Evolve pour émettre des comptes financiers figurent certaines des plus grandes institutions du pays, au service de centaines de millions d'Américains. Nous ne connaîtrons le nombre réel de personnes touchées qu'une fois que les entreprises auront révélé quelles données ont été compromises.

Deuxièmement, les lois fédérales requis Chaque entreprise collecte des données personnelles et privées importantes auprès de ses clients pour les transmettre à Evolve. Que ce soit en vertu du Bank Secrecy Act, du PATRIOT Act, du programme d'identification des clients de la FDIC, du Dodd-Frank Act ou du Corporate Transparency Act récemment adopté, le gouvernement fédéral exige que les clients lui transmettent de vastes quantités d'informations et de données que les banques et les institutions financières doivent conserver pour traquer les crimes.

Pour se conformer aux nombreuses lois anti-blanchiment et de connaissance du client imposées par le gouvernement aux institutions financières, chacune de ces sociétés doit collecter et stocker les noms, adresses, numéros de sécurité sociale et scans d'identité de leurs clients pour les signaler au département du Trésor. Un groupe de pirates informatiques russes pourrait désormais posséder ces informations.

L’ampleur du vol d’identité potentiel ne fera que croître une fois que les criminels auront comparé ces informations avec les récentes violations en ligne.

Certains utilisateurs ont déjà signalé escroqueries par phishing rendu possible grâce aux informations obtenues grâce au piratage, et d'autres informations pourraient bientôt être disponibles.

Jason Mikula, rédacteur de FinTech Substack, est l'un des seuls journalistes à avoir couvert cette brèche depuis le début. Evolve Bank lui a envoyé un lettre de cessation et d'abstention la semaine dernière et a menacé de poursuites judiciaires s'il révélait des informations provenant des piratages.

Au-delà des inquiétudes concernant un effondrement plus large de l’industrie autour de la FinTech, cet épisode devrait servir d’avertissement à ceux qui prônent des lois excessives sur la connaissance du client et la lutte contre le blanchiment d’argent pour les services que les consommateurs utilisent au quotidien.

Comme je l'ai déjà dit signalé En retour, un projet de loi en attente au Sénat américain voudrait sévir encore plus contre les échanges de Bitcoin et de cryptomonnaies, en exigeant encore plus de données personnelles et même en limitant le montant que les clients peuvent retirer sans être qualifiés de « suspects ».

Bien que les tentatives d’élaboration d’une loi nationale sur la protection de la vie privée soient louables, le Congrès et la Commission fédérale du commerce ont trop concentré sur des modèles commerciaux spécifiques de diverses entreprises en ligne plutôt que sur la création de sanctions juridiquement contraignantes pour les piratages qui mettent en danger nos informations privées et nous exposent au risque de vol d’identité.

Au lieu d’introduire davantage de restrictions ou d’exigences pour que les entreprises collectent des informations afin de lutter contre la criminalité, nous devrions plutôt nous demander si les lois existantes ne nous mettent pas en danger. Des règles de bon sens qui favorisent le chiffrement, pénalisent les acteurs malveillants et minimisent la collecte de données contribueraient grandement à protéger les consommateurs contre de futurs préjudices.

Publié à l'origine ici