Das Geldtransfer- und Fintech-Unternehmen Wise gab am Freitag bekannt, dass im Zuge des jüngsten Datendiebstahls bei Evolve Bank and Trust möglicherweise einige persönliche Daten seiner Kunden gestohlen wurden.
Die Nachricht macht deutlich, dass die Folgen der Evolve-Datenpanne für Drittunternehmen – und deren Kunden und Benutzer – noch unklar sind und dass wahrscheinlich auch noch unbekannte Unternehmen und Startups betroffen sind.
In einer auf der offiziellen Website veröffentlichten ErklärungWise schrieb, dass das Unternehmen von 2020 bis 2023 mit Evolve zusammengearbeitet habe, „um USD-Kontodaten bereitzustellen“. Und angesichts des kürzlich erfolgten Datendiebstahls bei Evolve „könnten auch die persönlichen Daten einiger Wise-Kunden betroffen gewesen sein“.
„Wir werden allen Wise-Kunden, von denen wir glauben, dass sie von diesem Datenleck direkt betroffen sein könnten, eine E-Mail schicken“, schrieb das Unternehmen.
Wise gab an, dass es die persönlichen Daten von US-Kunden an Evolve weitergegeben habe, darunter Namen, Adressen, Geburtsdaten, Kontaktdaten und Sozialversicherungsnummern oder Arbeitgeberidentifikationsnummern. Für Kunden außerhalb der USA teilte Wise außerdem „eine weitere Ausweisnummer“ mit.
Zu diesem Zeitpunkt ist noch unklar, wie viele Wise-Kunden betroffen sind, da das Unternehmen schrieb, dass es den Vorfall noch „aktiv untersucht“.
Kontaktiere uns
Haben Sie weitere Informationen zum Evolve-Datenleck und wie es andere Unternehmen beeinflusst? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail erreichen. Sie können Tech auch über SecureDrop kontaktieren.
Auf die Bitte um Stellungnahme, wie viele Daten seiner Kunden gestohlen wurden, antwortete Wise nicht.
Auf die Frage von Tech, ob Evolve wisse, wie viele Partnerunternehmen – alte und aktuelle – und Endnutzer von dem Verstoß betroffen seien und ob Evolve bereits alle kontaktiert habe, lehnte Evolve-Sprecher Eric Helvie eine Stellungnahme ab und verwies auf die offizielle Erklärung des Unternehmens auf seiner Website.
Zum Zeitpunkt des Schreibens dieser Zeilen heißt es in der Erklärung, dass Evolve „weiterhin rund um die Uhr daran arbeitet, auf den jüngsten Cybersicherheitsvorfall zu reagieren“ und verspricht, weitere Updates bereitzustellen. Das Unternehmen sagte, der Verstoß sei ein Ransomware-Angriff der Cybercrime-Bande LockBit gewesen, der darauf zurückzuführen sei, dass ein Mitarbeiter im Mai dieses Jahres auf einen bösartigen Link geklickt habe.
„Es gibt keine Beweise dafür, dass die Kriminellen auf Kundengelder zugegriffen haben, aber es scheint, dass sie im Februar und Mai auf Kundeninformationen aus unseren Datenbanken und einer Dateifreigabe zugegriffen und diese heruntergeladen haben“, heißt es in der Erklärung. „Der Bedrohungsakteur hat auch einige Daten in unserer Umgebung verschlüsselt. Wir haben jedoch Backups zur Verfügung und hatten nur begrenzte Datenverluste und Auswirkungen auf unseren Betrieb.“
Das Unternehmen verspricht außerdem, „jede Person, deren persönliche Daten betroffen sind“, direkt zu benachrichtigen.
Bisher haben Affirm, EarnIn, Marqeta, Melio und Mercury – allesamt Partner von Evolve – zugegeben, dass sie untersuchen, wie sich der Evolve-Datenverstoß auf ihre Kunden ausgewirkt hat. Am Montag schrieb Fintech-Reporter Jason Mikula geteilt auf X eine Benachrichtigung, die Branch, ein weiterer Partner von Evolve, an einen Kunden gesendet hatte. Branch hat auf wiederholte Anfragen von Tech um einen Kommentar noch nicht geantwortet.