La startup Fintech Revolut ha confirmado que fue atacada por un ataque cibernético altamente dirigido que permitió a los piratas informáticos acceder a los datos personales de decenas de miles de clientes.
El portavoz de Revolut, Michael Bodansky, le dijo a TechCrunch que un “tercero no autorizado obtuvo acceso a los detalles de un pequeño porcentaje (0,16%) de nuestros clientes durante un corto período de tiempo”. Revolut descubrió el acceso malicioso a última hora del 10 de septiembre y aisló el ataque a la mañana siguiente.
“Inmediatamente identificamos y aislamos el ataque para limitar efectivamente su impacto y nos comunicamos con los clientes afectados”, dijo Bodansky. “Los clientes que no han recibido un correo electrónico no se han visto afectados”.
Revolut, que tiene una licencia bancaria en Lituania, no dijo exactamente cuántos clientes se vieron afectados. Su sitio web dice que la empresa tiene aproximadamente 20 millones de clientes; 0,16% se traduciría en unos 32.000 clientes. Sin embargo, según Revolut divulgación de incumplimiento a las autoridades de Lituania, descubierto por primera vez por computadora pitidola empresa dice que 50.150 clientes se vieron afectados por la infracción, incluidos 20.687 clientes en el Espacio Económico Europeo y 379 ciudadanos lituanos.
Revolut también se negó a decir a qué tipos de datos se accedió, pero le dijo a TechCrunch que no se accedió ni se robaron fondos en el incidente. En un mensaje enviado a los clientes afectados publicado en Reddit, la compañía dijo que “no se accedió a los detalles de la tarjeta, PIN o contraseñas”. Sin embargo, la divulgación de la infracción establece que los piratas informáticos probablemente accedieron a datos parciales de pago con tarjeta, junto con los nombres, direcciones, direcciones de correo electrónico y números de teléfono de los clientes.
La divulgación establece que el actor de amenazas utilizó métodos de ingeniería social para obtener acceso a la base de datos de Revolut, lo que generalmente implica persuadir a un empleado para que entregue información confidencial, como su contraseña. Esta se ha convertido en una táctica popular en los ataques recientes contra varias empresas conocidas, incluidas Twilio, Mailchimp y Okta.
Pero Revolut advirtió que la brecha parece haber motivado una campaña de phishing e instó a los clientes a tener cuidado al recibir cualquier comunicación sobre la violación. La startup advirtió a los clientes que no llamará ni enviará mensajes SMS solicitando datos de inicio de sesión o códigos de acceso.
Como precaución, Revolut también formó un equipo dedicado encargado de monitorear las cuentas de los clientes para asegurarse de que tanto el dinero como los datos estén seguros.
“Nos tomamos incidentes como estos increíblemente en serio, y nos gustaría disculparnos sinceramente con cualquier cliente que se haya visto afectado por este incidente, ya que la seguridad de nuestros clientes y sus datos es nuestra principal prioridad en Revolut”, agregó Bodansky.
El año pasado, Revolut recaudó $ 800 millones en capital fresco, valorando la puesta en marcha en más de $ 33 mil millones.