La revendication d'un groupe de ransomwares ayant volé 3,4 millions de dossiers chez Citizens Bank et 250 000 numéros de sécurité sociale chez Frost Bank souligne la menace persistante des risques de sécurité liés aux fournisseurs tiers dans le secteur financier.
Une violation de données majeure chez un fournisseur tiers commun a compromis les données des clients de Citizens Bank et de Frost Bank. Le groupe de ransomwares Everest affirme avoir exfiltré 3,4 millions de dossiers et menace de les rendre publics.
« Nous gérons un incident impliquant des données extraites d'un fournisseur tiers », a déclaré Citizens Bank dans un communiqué mardi, confirmant la violation mais pas l'ampleur de la perte de données. Frost Bank a publié un communiqué similaire, attribuant l'incident à un fournisseur tiers et précisant que la violation « pourrait avoir inclus des données de clients de Frost ». Aucune des deux banques n'a nommé le fournisseur compromis, une pratique courante aux premiers stades de la divulgation d'une faille.
Le groupe de ransomwares Everest, apparu en 2020, a revendiqué la responsabilité de l'attaque, affichant les deux banques comme victimes sur son site de fuite de données. Le groupe prétend avoir volé 3,4 millions de dossiers à Citizens et plus de 250 000 numéros de sécurité sociale et d'identification fiscale à Frost. Selon Adam Darrah, vice-président du renseignement chez ZeroFox, les preuves suggèrent la compromission d'un fournisseur unique, probablement un prestataire gérant l'impression des relevés et la gestion des documents fiscaux pour les banques.
Cette violation souligne la menace importante et croissante des attaques par la chaîne d'approvisionnement, où les cybercriminels ciblent des fournisseurs plus petits et moins sécurisés pour accéder aux données de grands clients d'entreprise. L'incident rappelle brutalement le niveau de diligence raisonnable requis par les institutions financières pour évaluer et surveiller leurs fournisseurs tiers. Bien que les deux banques affirment que leurs propres réseaux n'ont pas été violés, les dommages réputationnels et le potentiel de fraude résultant d'une perte de données d'une telle ampleur sont considérables. Everest a menacé de publier les fichiers volés le 25 avril, créant un défi urgent pour les banques et leurs clients.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
