FinWise銀行は、企業顧客に代わって、元従業員が退職後に機密ファイルへアクセスしたことによるデータ漏洩が発生したと警告しています。
「2024年5月31日、FinWiseは元従業員が退職後にFinWiseのデータへアクセスしたことによるデータセキュリティインシデントを経験しました」と、FinWiseがAmerican First Finance(AFF)に代わって送信したデータ漏洩通知には記載されています。
American First Finance(AFF)は、分割払いローンやリース購入プログラムなど、さまざまな商品やサービス向けの消費者向け金融商品を提供する企業です。顧客はAFFを利用してローンの申請や管理を行い、同社がサービス、アカウント設定、返済手続き、カスタマーサポートを担当します。
FinWiseはAmerican First Financeと提携し、これらのローンの発行および資金提供を行う銀行として機能しています。
メイン州司法長官事務所への提出によると、American First Financeは、FinWise銀行のデータ漏洩により68万9千人の顧客データが影響を受けたことを明らかにしました。この提出には、FinWiseがAmerican First Financeに代わって作成した通知書が含まれており、銀行自体がインシデントの発生源であることが確認されています。
FinWiseによれば、顧客情報(氏名やその他の個人データ要素を含む)を含むファイルが漏洩時にアクセスされましたが、漏洩したデータの完全なリストは伏せられています。
同社は、元従業員が退職後にどのようにしてこのデータへアクセスできたのか、またFinWiseの漏洩で影響を受けた人数の総数については明らかにしていません。
発覚後、銀行は外部のサイバーセキュリティ専門家とともに調査を開始し、漏洩範囲の評価を行いました。
FinWiseは、同様のインシデントのリスクを低減するために内部管理体制を強化し、影響を受けた方々に対して12か月間の無料クレジットモニタリングおよび個人情報盗難防止サービスを提供しています。
BleepingComputerはFinWise銀行にさらなる情報を求めて連絡しましたが、FinWiseの広報担当者は「係争中の訴訟についてはコメントしない」と述べました。
しかし、同社は最近の四半期SEC提出書類(2025年6月30日付 Form 10-Q)へのリンクを共有し、その中で約60万人が影響を受けたと記載しており、American First Financeが示した数字とほぼ同じです。
現在、同社はこのデータ漏洩に関連する複数の集団訴訟に直面しています。
