El banco americano Flagstar Bank ha anunciado que ha sufrido una violación de datos. La compañía se lo ha comunicado a 837.390 clientes, avisándoles de que su información personal quedó expuesta.
El problema no se debería a un agujero de seguridad propio, sino a una vulnerabilidad que implicó a su proveedor de servicios externo Fiserv, que le proporciona procesamiento de pagos y servicios de banca móvil.
Así, de manera indirecta la entidad ha sido una víctima más del problema de seguridad del programa MOVEit Transfer, que ha dejado cientos de empresas e instituciones afectadas hasta el momento y que fue perpetrado por el grupo de ransomware Clop.
"El incidente involucró vulnerabilidades descubiertas en MOVEit Transfer, un software de transferencia de archivos utilizado por nuestro proveedor para respaldar los servicios que brinda a Flagstar y sus instituciones relacionadas", reza la notificación de violación de datos enviada a los clientes afectados.
“Nuestro proveedor inició rápidamente una investigación sobre la naturaleza y el alcance del impacto de la vulnerabilidad MOVEit en sus sistemas y descubrió que la actividad no autorizada en el entorno de MOVEit Transfer ocurrió entre el 27 y el 31 de mayo de 2023, que fue antes de que se hiciera pública la existencia de esta vulnerabilidad. Durante ese tiempo, actores no autorizados obtuvieron los archivos de nuestros proveedores transferidos a través de MOVEit”.
Otros ataques al banco
Flagstar es, actualmente, una subsidiaria que pertenece al New York Community Bank. Antes de su adquisición el año pasado, era uno de mayores bancos de EE.UU. Se conforma como uno de los administradores de hipotecas residenciales más importantes del país.
Lamentablemente, este no es el primer incidente de seguridad que implica a Flagstar Bank. En junio de 2022 reveló otra filtración de datos que implicó a 1,5 millones de personas. En este caso la infracción había ocurrido a principios de 2021.
Podemos decir que Clop ransomware ha hecho un 'doblete' con este banco. En marzo de 2021 atacaron directamente a la entidad. La pandilla había aprovechado el compromiso a otro servicio de transferencia de archivos, Accellion, ocurrido a finales de 2020. Este incidente afectó también a cerca de 1,5 millones de usuarios.