Uno degli attacchi informatici bancari più consequenziali degli ultimi anni è stato appena rivelato al pubblico. In un post caricato sul suo sito web due settimane fa, la Evolve Bank and Trust con sede in Arkansas ha informato i propri clienti che un “incidente di sicurezza informatica” che ha coinvolto il gruppo ransomware russo LockBit ha provocato il furto di una quantità imprecisata di informazioni sui clienti.
Il gruppo di hacker, che è stato il obbiettivo di un'operazione internazionale di applicazione della legge per anni, aveva originariamente ha sostenuto l'attacco ha colpito la Federal Reserve, sollevando qualche perplessità a Wall Street.
Invece, come rivela il sito web dark net del gruppo, la cache di record rubata si riferisce presumibilmente ai clienti di Evolve Bank and Trust e a quelli delle società FinTech partner, secondo quanto riferito compresi i nomi dei clienti, i numeri di previdenza sociale, le date di nascita e le scansioni delle patenti di guida e dei documenti d'identità.
Sebbene non conosciamo la reale portata dell'attacco informatico e delle fughe di notizie, la banca posizione unicaIn quanto ponte tra la finanza tradizionale e le startup FinTech, le neo-banche evidenziano una situazione molto più grave di quanto molti vorrebbero ammettere.
Molte importanti società di servizi finanziari, tra cui grandi nomi come Wise, Mercury, Stripe, Affirm e molti altri, hanno già comunicato ai loro clienti che alcuni dei loro datipotrebbe essere stato incluso nell'hack. Personalmente ho ricevuto alcune di queste email da altri account.
Ciò è correlato all'imminente fallimento del fornitore bancario correlato Synapse, che ha agito come intermediario tra le aziende FinTech e le banche tradizionali come Evolve. I senatori Sherrod Brown (D-Ohio), Ron Wyden (D-Ore.), Tammy Baldwin (D-Wis.) e John Fetterman (D-Penn.) inviato una lettera il 1° luglio alla società chiedendole di rendere integri i suoi clienti. Nella lettera è stata anche citata Evolve Bank, un importante partner di Synapse. Il presunto hack non farà che peggiorare la situazione.
Due fattori rendono questo presunto hack di Evolve così devastante.
In primo luogo, la scala e la portata delle aziende coinvolte. elenco dei partner FinTech che utilizzano la licenza bancaria di Evolve per emettere conti finanziari include alcuni dei più grandi istituti del paese, che servono centinaia di milioni di americani. Sapremo il vero numero di persone interessate solo quando le aziende riveleranno i dati compromessi.
In secondo luogo, le leggi federali necessario ogni azienda deve raccogliere dati personali e privati significativi dai propri clienti da fornire a Evolve. Che si tratti del Bank Secrecy Act, del PATRIOT Act, del FDIC Customer Identification Program, del Dodd-Frank Act o del Corporate Transparency Act appena approvato, il governo federale impone ai clienti di consegnare grandi quantità di informazioni e dati che le banche e gli istituti finanziari devono conservare per rintracciare i reati.
Per rispettare le innumerevoli leggi Know Your Customer e antiriciclaggio che il governo ha imposto alle istituzioni finanziarie, ciascuna di queste aziende deve raccogliere e conservare i nomi, gli indirizzi, i numeri di previdenza sociale e le scansioni di documenti d'identità dei propri clienti per segnalarli al Dipartimento del Tesoro. Un nefasto gruppo di hacker russi potrebbe ora possedere queste informazioni.
La portata del potenziale furto di identità non potrà che aumentare quando i criminali collegheranno queste informazioni alle recenti violazioni della rete.
Alcuni utenti hanno già segnalato truffe di phishing reso possibile dalle informazioni ottenute tramite l'hacking, e tuttavia presto potrebbero essere disponibili ulteriori informazioni.
Jason Mikula, scrittore di FinTech Substack, è uno dei pochi giornalisti ad aver coperto questa violazione sin dall'inizio. Evolve Bank gli ha inviato un lettera di cessazione e desistenza la scorsa settimana e ha minacciato azioni legali se avesse rivelato informazioni provenienti dagli hacker.
Al di là delle preoccupazioni circa un crollo più ampio del settore FinTech, questo episodio dovrebbe rivelarsi un monito per coloro che promuovono l'applicazione eccessiva delle leggi Know Your Customer e antiriciclaggio per i servizi che i consumatori utilizzano ogni giorno.
Come ho già detto in precedenza segnalato In merito al ritorno, un disegno di legge in sospeso al Senato degli Stati Uniti vorrebbe reprimere ancora di più gli scambi di Bitcoin e criptovalute, richiedendo ancora più dati personali e persino limitando l'importo che i clienti possono prelevare senza essere etichettati come "sospetti".
Sebbene i tentativi di una legge nazionale sulla privacy siano encomiabili, il Congresso e la Federal Trade Commission hanno troppo concentrato su modelli aziendali specifici di varie aziende online piuttosto che sulla creazione di sanzioni legalmente vincolanti per gli attacchi informatici che mettono a repentaglio le nostre informazioni private e ci espongono al rischio di furto di identità.
Invece di introdurre più restrizioni o requisiti per le aziende per raccogliere informazioni per combattere la criminalità, dovremmo chiederci se le leggi esistenti non ci stiano mettendo in pericolo maggiore. Le regole di buon senso che promuovono la crittografia, penalizzano i malintenzionati e riducono al minimo la raccolta di dati farebbero molta strada nel proteggere i consumatori da danni futuri.
Originariamente pubblicato qui