0
0
Maior banco digital dos EUA, o Dave admitiu ter sofrido uma violação dos dados dos clientes por meio de um fornecedor terceirizado, depois que pesquisadores de segurança encontraram um banco de dados contendo milhões de registros para venda online. Com sede em Los Angeles, na Califórnia, a fintech oferece serviços bancários digitais e, em 2019, atingiu valor de mercado de US$ 1 bilhão, após apenas dois anos de atividades.
O banco de dados, contendo 7,5 milhões de registros de usuários, associados a três milhões de endereços de e-mail, estava sendo vendido em um leilão na dark web e na sexta-feira passada, 24, foi liberado gratuitamente em fóruns de hackers pelo grupo de cibercriminosos ShinyHunters.
Neste fim de semana, o Dave divulgou comunicado confirmando a violação. “Como resultado de uma violação na Waydev, um dos ex-fornecedor de serviços terceirizados ao banco, uma parte mal-intencionada obteve recentemente acesso não autorizado a determinados dados de usuários, incluindo senhas que foram armazenadas em forma de hash usando bcrypt, um hash reconhecido pelo algoritmo”, explicou.
Ainda de acordo com a nota, os dados roubados também incluíam algumas informações pessoais de usuários, incluindo nomes, e-mails, datas de nascimento, endereços físicos e números de telefone. “É importante ressaltar que isso não afetou números de contas bancárias, números de cartão de crédito, registros de transações financeiras ou números de segurança social não criptografados”, afirmou o banco.
Embora o Dave diga que não há evidências de que a violação tenha causado perda financeira ou acesso não autorizado às contas, os dados financeiros e os números de contas correntes estão nos cartões que foram disponibilizados gratuitamente na dark web.
Tecnicamente, as senhas podem ser descriptografadas e usadas no preenchimento de credenciais em outras contas, enquanto as informações pessoais expostas no incidente podem ser implantadas para tornar os ataques de phishing mais convincentes.
O Dave disse que está notificando todos os clientes afetados, além de ter executado uma redefinição obrigatória de todas as senhas dos clientes. O banco também afirmou que, assim que tomou conhecimento do incidente, iniciou imediatamente uma investigação, que está em andamento. “Estamos trabalhando com o FBI para verificar se as alegações dos hackers de que decifraram algumas senhas e estão tentando vender os dados de clientes. A equipe de segurança do banco protegeu rapidamente seus sistemas e tem trabalhado o tempo todo para manter as contas dos clientes em segurança.”
O Dave também contratou a CrowdStrike, consultora em segurança cibernética, para ajudar nas investigações. O Dave é uma fintech que permite aos usuários vincular suas contas bancárias e receber adiantamentos em dinheiro para o pagamento de contas, a fim de evitar taxas de cheque especial. Os assinantes que precisam de dinheiro extra podem obter um empréstimo de até US$ 100, mas não podem receber outro financiamento até que haja o reembolso.
FONTE: CISO ADVISOR