Banco da América Admite Violação de Dados, Fornecedor Hackeado

O Banco da América Corporation (BofA), a segunda maior instituição bancária dos EUA, está alertando os clientes sobre uma possível violação de dados que pode ter exposto informações pessoais sensíveis de clientes que participam de um plano de compensação diferida.

O aviso de violação de dados apresentado pelo BofA ao Procurador Geral do Texas revela que as informações pessoalmente identificáveis (PII) dos clientes expostas na violação de segurança incluem nomes, endereços, números de Seguro Social, datas de nascimento e informações financeiras, incluindo números de contas e cartões de crédito.

Aparentemente, a violação de dados ocorreu em 3 de novembro de 2023, na Infosys McCamish Systems LLC (“Infosys” ou “IMS”), que é o fornecedor do Banco da América.

Em um recente registro ao Procurador Geral do Maine, a IMS revelou que 57.028 clientes tiveram seus dados expostos no incidente. Durante o ciberataque, uma parte não autorizada conseguiu acessar partes da rede de computadores da IMS.

Ao tomar conhecimento da violação de cibersegurança, a IMS realizou uma investigação com a ajuda de especialistas forenses de terceiros. Informou ao Banco da América em 24 de novembro de 2023 que dados relacionados a certos planos de compensação diferida atendidos pelo banco podem ter sido afetados. No entanto, em nenhum momento a rede interna do Banco da América foi comprometida durante a violação.

Em 1º de fevereiro de 2024, a Infosys enviou cartas de violação de dados a todos que foram afetados pelo recente incidente de segurança de dados, listando quais informações pertencentes a eles foram comprometidas.

Da mesma forma, o Banco da América também enviou cartas de violação de dados aos consumidores impactados em 6 de fevereiro de 2024, notificando-os sobre a violação de segurança.

Apesar de afirmar não ter conhecimento de qualquer uso indevido envolvendo informações de clientes, o Banco da América está oferecendo uma associação gratuita de dois anos no programa de proteção contra roubo de identidade da Experian para os clientes afetados, que inclui monitoramento de crédito, seguro contra roubo de identidade e serviços de resolução de fraudes, para compensar o incidente.

Além disso, os clientes também são aconselhados a mudar senhas e PINs online, monitorar suas contas para qualquer atividade suspeita, relatar imediatamente quaisquer transações não autorizadas e também colocar um bloqueio de segurança ou alerta de fraude em seus relatórios de crédito.

Banco da América Vs. LockBit

Em 4 de novembro de 2023, o grupo de ransomware LockBit supostamente assumiu a responsabilidade pelo ataque à IMS, afirmando que seus operadores criptografaram mais de 2.000 sistemas durante a violação.

A operação de ransomware como serviço (RaaS) LockBit veio à tona em setembro de 2019 e desde então atacou inúmeras instituições renomadas, incluindo o Royal Mail do Reino Unido, a Receita Federal da Itália, a grande montadora Continental e a Cidade de Oakland.