Η αμερικανική fintech Figure, που δραστηριοποιείται στα δάνεια με χρήση blockchain, επιβεβαίωσε σοβαρή παραβίαση δεδομένων μετά από επίθεση κοινωνικής μηχανικής σε εργαζόμενο. Την ευθύνη ανέλαβε η διαβόητη ομάδα χάκερ ShinyHunters, η οποία δημοσίευσε μέρος των κλεμμένων αρχείων στο dark web.
Η Figure Technology, μία από τις πιο προβεβλημένες εταιρείες fintech δανεισμού που βασίζεται σε τεχνολογία blockchain, επιβεβαίωσε ότι έπεσε θύμα κυβερνοεπίθεσης με διαρροή προσωπικών δεδομένων πελατών της. Η εξέλιξη έρχεται σε μια περίοδο αυξημένης εποπτικής και επενδυτικής προσοχής γύρω από τις νεοφυείς χρηματοοικονομικές πλατφόρμες στις ΗΠΑ.
Κρίσιμη παραβίαση μέσω κοινωνικής μηχανικής
Σύμφωνα με δήλωση της εταιρείας στο TechCrunch, η επίθεση ξεκίνησε όταν ένας εργαζόμενος εξαπατήθηκε μέσω κοινωνικής μηχανικής, δίνοντας στους εισβολείς πρόσβαση σε εταιρικό λογαριασμό. Μέσω αυτής της πρόσβασης, οι χάκερ κατάφεραν να κατεβάσουν «περιορισμένο αριθμό αρχείων», όπως ανέφερε η εκπρόσωπος της Figure, Αlethea Jadick.
Η εταιρεία δηλώνει ότι συνεργάζεται με «συνεργάτες και όσους επηρεάστηκαν» και προσφέρει δωρεάν υπηρεσίες παρακολούθησης πιστωτικού προφίλ σε όλα τα άτομα που θα λάβουν σχετική ειδοποίηση. Ωστόσο, η Figure δεν απάντησε σε πιο εξειδικευμένα ερωτήματα για την έκταση της παραβίασης, το πλήθος των επηρεαζόμενων πελατών ή το αν επηρεάστηκαν και επιχειρηματικοί λογαριασμοί.
Την ευθύνη για την επίθεση ανέλαβε η γνωστή ομάδα ShinyHunters, η οποία δραστηριοποιείται εδώ και χρόνια σε μεγάλης κλίμακας κλοπές δεδομένων. Στο site διαρροών της στο dark web, η ομάδα υποστήριξε ότι η Figure αρνήθηκε να καταβάλει λύτρα, και ως απάντηση δημοσίευσε 2,5 GB φερόμενων κλεμμένων δεδομένων.
Προσωπικά στοιχεία πελατών και ευρύτερη καμπάνια μέσω Okta
Δημοσιογράφοι του TechCrunch που εξέτασαν τμήμα των δεδομένων εντόπισαν ευαίσθητες προσωπικές πληροφορίες, όπως ονοματεπώνυμα, διευθύνσεις κατοικίας, ημερομηνίες γέννησης και αριθμούς τηλεφώνου πελατών της Figure. Τέτοια στοιχεία μπορούν να αξιοποιηθούν για κλοπή ταυτότητας, δευτερογενείς επιθέσεις phishing ή πρόσβαση σε άλλους λογαριασμούς των θυμάτων.
Μέλος των ShinyHunters δήλωσε ότι η Figure αποτελεί έναν μόνο κρίκο σε μεγαλύτερη καμπάνια επιθέσεων που στοχεύει πελάτες του παρόχου single sign-on Okta. Στην ίδια εκστρατεία φέρονται να περιλαμβάνονται και μεγάλα ακαδημαϊκά ιδρύματα όπως το Harvard και το Πανεπιστήμιο της Πενσυλβάνια (UPenn, University of Pennsylvania), τα οποία επίσης έχουν ανακοινώσει διαρροές δεδομένων.
Η υπόθεση αναδεικνύει πόσο κρίσιμη είναι η αλυσίδα ταυτότητας και πρόσβασης (identity & access management) για ολόκληρο το οικοσύστημα fintech. Όταν ένας κεντρικός κόμβος, όπως ένας πάροχος single sign-on, στοχοποιείται, οι επιπτώσεις μπορούν να διαχυθούν σε δεκάδες οργανισμούς και εκατομμύρια τελικούς χρήστες.
Επιπτώσεις για την αξιοπιστία του fintech lending
Για μια εταιρεία που έχει χτίσει το brand της γύρω από την καινοτομία και την αξιοποίηση blockchain στη χορήγηση δανείων, μια παραβίαση βασικών προσωπικών δεδομένων αποτελεί σοβαρό πλήγμα αξιοπιστίας. Οι επενδυτές, οι ρυθμιστικές αρχές και οι πελάτες παρακολουθούν πλέον στενά το πώς η Figure θα διαχειριστεί τη διαφάνεια, την τεχνική αποκατάσταση και την ενίσχυση των εσωτερικών ελέγχων της.
Σε ένα περιβάλλον όπου οι πλατφόρμες fintech ανταγωνίζονται τις παραδοσιακές τράπεζες για μερίδιο στην αγορά δανεισμού, η ασφάλεια δεδομένων δεν είναι απλώς θέμα συμμόρφωσης, αλλά κρίσιμο ανταγωνιστικό πλεονέκτημα. Κάθε σοβαρό περιστατικό, όπως αυτό της Figure, προσφέρει επιπλέον επιχειρήματα σε όσους υποστηρίζουν αυστηρότερη ρύθμιση και εποπτεία των νεοφυών χρηματοοικονομικών παικτών.
Σχόλιο 
: Η επίθεση στη Figure υπογραμμίζει ότι ακόμη και οι πιο «προχωρημένες» fintech με blockchain παραμένουν ευάλωτες στο ανθρώπινο λάθος και στην κοινωνική μηχανική. Για τις ελληνικές τράπεζες και τις εγχώριες fintech, το μήνυμα είναι σαφές: επενδύσεις όχι μόνο σε τεχνολογία, αλλά και σε εκπαίδευση προσωπικού, αυστηρή διαχείριση πρόσβασης και εναλλακτικά σχέδια σε περίπτωση παραβίασης, πριν χαθεί το κεφάλαιο εμπιστοσύνης των πελατών.
#fintech #κυβερνοασφάλεια #διαρροήΔεδομένων #Figure #ShinyHunters
