A 700Credit, empresa norte-americana de serviços financeiros e fintech, anunciou que notificará mais de 5,8 milhões de pessoas sobre a exposição de seus dados pessoais em um incidente de vazamento de informações.
O ataque cibernético ocorreu em julho, quando um agente malicioso invadiu um dos parceiros de integração da 700Credit e descobriu uma API que permitia o acesso a informações de clientes.
No entanto, esse parceiro não comunicou a 700Credit sobre a violação.
A empresa identificou atividades suspeitas em seus sistemas em 25 de outubro e iniciou uma investigação com o apoio de especialistas forenses externos.
Segundo a 700Credit, “a análise revelou que determinados registros da aplicação web relacionados a clientes dos concessionários parceiros foram copiados sem autorização”.
De acordo com Ken Hill, diretor executivo da 700Credit, o invasor conseguiu roubar cerca de 20% dos dados de consumidores entre maio e outubro, até que a empresa bloqueou a API vulnerável.
A falha permitiu a exfiltração dos dados porque a API não validava corretamente os IDs de referência dos consumidores em relação ao solicitante original.
Os dados expostos incluem:
- Nome completo
- Endereço físico
- Data de nascimento
- Número de Segurança Social (SSN)
A 700Credit é um dos maiores provedores de relatórios de crédito, verificação de identidade e serviços de prevenção a fraudes e compliance para concessionárias automotivas nos Estados Unidos.
Atualmente, atende mais de 23 mil clientes, entre concessionárias de automóveis, veículos recreativos (RV), powersports e embarcações.
A empresa registrou a notificação do incidente junto à Federal Trade Commission (FTC), tanto em seu nome quanto no dos concessionários afetados, o que dispensa esses clientes de realizarem a comunicação individualmente.
Além disso, a 700Credit comunicou a National Automobile Dealers Association (NADA) para ampliar a conscientização sobre o ocorrido.
Uma página dedicada no site da empresa detalha informações gerais sobre o vazamento e os dados comprometidos.
Para apoiar os afetados, a 700Credit está oferecendo serviço gratuito de proteção de identidade e monitoramento de crédito pela TransUnion, válido por 12 meses, com período de inscrição de até 90 dias.
As pessoas notificadas são orientadas a monitorar suas contas com atenção e a considerar a aplicação de um security freeze para aumentar a proteção.
Até o momento, nenhum grupo de ransomware reivindicou a autoria do ataque.
A reportagem entrou em contato com a 700Credit em busca de mais informações, mas não obteve resposta até o fechamento desta matéria.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...