FinWise Bank a comunicat că a avut un incident de securitate cibernetică: un fost angajat a intrat în fișiere sensibile după încetarea raportului de muncă, iar notificarea a fost emisă în numele partenerului său, American First Finance. Evenimentul vizează clienții din Statele Unite care folosesc produse de finanțare furnizate de AFF, FinWise având rolul de instituție bancară care inițiază și finanțează împrumuturile.
American First Finance furnizează credite în rate și programe lease-to-own pentru diverse produse și servicii, iar clienții se adresează AFF pentru aplicare, administrare și suport. FinWise colaborează tehnic și financiar cu AFF, dar breșa a avut loc în sistemele băncii. Conform unei notificări depuse la Procurorul General din Maine, AFF a raportat că datele a 689.000 de clienți au fost compromise. Notificarea include o scrisoare redactată de FinWise care confirmă că sursa incidentului a fost banca însăși. FinWise declară că în fișierele accesate se regăseau nume complete și alte elemente de date personale, dar nu a publicat un inventar complet al tipurilor de informații expuse.
Rămân neclare două aspecte importante: modalitatea prin care fostul angajat a accesat date după încetarea colaborării și numărul total al persoanelor afectate de breșă, deoarece părțile implicate au comunicat cifre ușor diferite. În raportarea oficială către SEC din 30 iunie 2025, FinWise menționează aproximativ 600.000 de persoane implicate, o valoare apropiată de cea din dosarul din Maine, sugerând o estimare în jurul acelei cote, dar fără a reprezenta o confirmare definitivă.
Imediat după descoperire, banca a inițiat o anchetă cu specialiști externi în securitate cibernetică pentru a stabili amploarea expunerii. De asemenea, FinWise afirmă că a consolidat controalele interne pentru a reduce riscul unor incidente similare în viitor și oferă 12 luni de monitorizare a creditului și servicii de protecție împotriva furtului de identitate pentru persoanele afectate. În paralel, compania se confruntă cu mai multe procese colective legate de această breșă. Când publicația BleepingComputer a solicitat informații suplimentare, reprezentantul FinWise a refuzat să comenteze invocând litigii în curs, dar a indicat raportul financiar trimestrial în care apare estimarea de circa 600.000 de persoane.
Cazul readuce în discuție responsabilitățile băncilor și ale partenerilor financiari privind protecția datelor personale și dificultățile legate de accesul foștilor angajați la sistemele interne. Datele menționate, precum numele complete și alte informații personale, sunt suficiente pentru a genera riscuri de fraudă sau furt de identitate, motiv pentru care măsurile de remediere și oferta de monitorizare reprezintă pași practici, dar nu înlocuiesc necesitatea unor clarificări legale privind modul în care a avut loc accesul.
Raportul financiar 10-Q al FinWise din 30 iunie 2025 și dosarul depus la autoritățile din Maine oferă intervale concrete: aproximativ 600.000–689.000 de clienți afectați. Banca pune la dispoziție 12 luni de monitorizare a creditului pentru persoanele vizate. Câteva procese colective sunt în desfășurare, iar ancheta externă continuă. Ce măsuri concrete crezi că ar trebui implementate de instituțiile financiare pentru a preveni accesul neautorizat după încetarea unui contract de muncă?
daaar, bine că tocmai un fost angajat a făcut curat în baze; bravo, ce logică…