Um dos hacks bancários mais consequentes dos últimos anos foi revelado ao público. Em uma postagem carregada em seu local na rede Internet há duas semanas, o Evolve Bank and Trust, sediado no Arkansas, informou seus clientes que um “incidente de segurança cibernética” envolvendo o grupo russo de ransomware LockBit resultou no roubo de uma quantidade não especificada de informações de clientes.

O grupo de hackers, que tem sido o alvo de uma operação internacional de aplicação da lei durante anos, tinha originalmente reivindicado o hack foi do Federal Reserve, levantando algumas sobrancelhas em Wall Street.

Em vez disso, como revela o site da dark web do grupo, o cache roubado de registros supostamente se relaciona aos clientes do Evolve Bank e do Trust e àqueles de empresas parceiras de FinTech. supostamente incluindo nomes de clientes, números de Previdência Social, datas de nascimento e digitalizações de carteiras de motorista e documentos de identidade.

Embora não saibamos a extensão total do hack e dos vazamentos, o banco posição únicacomo uma ponte entre as finanças tradicionais e as startups FinTech, os neobancos apontam para uma situação muito mais terrível do que muitos gostariam de admitir.

Muitas empresas de serviços financeiros importantes, incluindo grandes nomes como Wise, Mercury, Stripe, Affirm e muitos outros, já comunicaram para seus clientes que alguns dos seus dadospode ter sido incluído no hack. Eu pessoalmente recebi alguns desses e-mails de outras contas.

Isto está relacionado com a iminente falência do fornecedor bancário relacionado Synapse, que agiu como um intermediário entre empresas de FinTech e bancos tradicionais como o Evolve. Senadores Sherrod Brown (D-Ohio), Ron Wyden (D-Ore.), Tammy Baldwin (D-Wis.) e John Fetterman (D-Penn.) enviou uma carta em 1º de julho para a empresa exigindo que ela reembolsasse seus clientes. O Evolve Bank, um grande parceiro da Synapse, também foi abordado na carta. O suposto hack agora só vai agravar a situação.

Dois fatores tornam esse suposto hack do Evolve tão devastador.

Primeiro, a escala e o escopo das empresas envolvidas. Lista dos parceiros FinTech que usam a licença bancária da Evolve para emitir contas financeiras incluem algumas das maiores instituições do país, atendendo centenas de milhões de americanos. Só saberemos o número real de pessoas afetadas quando as empresas revelarem quais dados foram comprometidos.

Em segundo lugar, as leis federais requeridos cada empresa para coletar dados pessoais e privados significativos de seus clientes para fornecer à Evolve. Seja sob o Bank Secrecy Act, o PATRIOT Act, o FDIC Customer Identification Program, o Dodd-Frank Act ou o recém-aprovado Corporate Transparency Act, o governo federal determina que os clientes entreguem grandes quantidades de informações e dados que os bancos e instituições financeiras devem reter para rastrear crimes.

Para cumprir com a miríade de leis Know Your Customer e antilavagem de dinheiro que o governo impôs às instituições financeiras, cada uma dessas empresas deve coletar e armazenar os nomes, endereços, números de previdência social e escaneamentos de identidade de seus clientes para relatar ao Departamento do Tesouro. Um nefasto grupo de hackers russo pode agora possuir essas informações.

A escala do potencial roubo de identidade só aumentará quando os criminosos compararem essas informações com violações online recentes.

Alguns usuários já relataram golpes de phishing possibilitado pelas informações do hack, e ainda mais informações podem estar disponíveis em breve.

O escritor do FinTech Substack Jason Mikula é um dos únicos jornalistas a cobrir essa violação desde o início. O Evolve Bank enviou a ele uma carta de cessação e desistência na semana passada e ameaçou tomar medidas legais caso revelasse qualquer informação dos hacks.

Além das preocupações sobre um colapso mais amplo da indústria em torno da FinTech, este episódio deve servir como um conto de advertência para aqueles que impõem leis excessivas de Conheça seu Cliente e antilavagem de dinheiro para serviços que os consumidores usam todos os dias.

Como eu já fiz anteriormente relatado no Return, um projeto de lei pendente no Senado dos EUA gostaria de reprimir ainda mais as bolsas de Bitcoin e criptomoedas, exigindo ainda mais dados pessoais e até mesmo limitando a quantia que os clientes podem sacar sem serem rotulados como "suspeitos".

Embora as tentativas de uma lei nacional de privacidade sejam louváveis, o Congresso e a Comissão Federal de Comércio focado demais em modelos de negócios específicos de várias empresas on-line, em vez de criar penalidades legalmente aplicáveis para hacks que colocam em risco nossas informações privadas e nos colocam em risco de roubo de identidade.

Em vez de introduzir mais restrições ou requisitos para que as empresas coletem informações para combater o crime, deveríamos nos perguntar se as leis existentes estão nos colocando em maior perigo. Regras de senso comum que promovam criptografia, penalizem os maus atores e minimizem a coleta de dados ajudariam muito a proteger os consumidores de danos futuros.

Publicado originalmente aqui