Connex Credit Union, spółdzielnia finansowa z siedzibą w Connecticut, potwierdzony Naruszenie danych wpływające na około 172 000 klientów po wykryciu niezwykłej aktywności sieciowej w dniu 3 czerwca 2025 r., Prowadzącym do kradzieży poufnych plików przez nieautoryzowaną stronę trzecią.
Incydent, potwierdzony przez złożenie do biura prokuratora generalnego Maine i naruszenie danych powiadomienie beletrystyka Wysłane do osób dotkniętych dotkniętymi osobami wskazali, że nieautoryzowana strona trzecia miała wyczerpane poufne pliki z sieci unii kredytowych 2 czerwca 2025 r. Po dochodzeniu, które trwało prawie miesiąc, Connex Credit Union ustalił, że skradzione dane obejmowały poufne dane osobowe. Obejmowało to nazwiska osób, numery konta, informacje o karcie debetowej, numery ubezpieczenia społecznego (SSN) oraz inne formy szczegółów identyfikacji rządu niezbędne do otwarcia konta z instytucją.
Pomimo obszernej ekspozycji na dane, Connex Credit Union stwierdził: „Connex nie ma powodu sądzić, że incydent dotyczył nieautoryzowanego dostępu do rachunków lub funduszy członków”. Unia kredytowa ogłosiła następnie środki mające na celu zwiększenie pozycji bezpieczeństwa cybernetycznego i zapewnia osobom dotkniętym 12 -miesięcznym usługi ochrony kredytowej i tożsamości. Usługi te są oferowane za pośrednictwem Cyberscout, wyznaczonego dostawcy usług.
Connex Credit Union działa jako spółdzielnia finansowa własnością członka i jest uznawana za jedną z największych kas kredytowych w Connecticut. Obsługuje ponad 70 000 członków i zarządza aktywami ponad 1 miliard dolarów. Jednocześnie z powiadomieniem o naruszeniu, kancelaria prawna z siedzibą w San Francisco, Schubert Jonckheer i Kolbe, zainicjowała dochodzenie w sprawie Unii kredytowej Connex. Firma bada, czy unia kredytowa opóźniła powiadomienie swoim klientom po naruszeniu.
Schubert Jonckheer i Kolbe stwierdzili w komunikacie prasowym, że chociaż naruszenie miało miejsce w czerwcu 2025 r., Unia kredytowa Connex „nie zaczęła powiadamiać osób dotkniętych dotkniętymi osobami do około 7 sierpnia 2025 r.” Oś czasu jest badany za potencjalne naruszenia przepisów stanowych i federalnych. W stanie Connecticut wymóg regulacyjny dotyczący powiadomienia o naruszeniu danych nakazuje działanie „Bez uzasadnionego opóźnienia, ale nie później niż 60 dni po odkryciu naruszenia”, chyba że prawo federalne określa krótsze ramy czasowe.
Skradzione dane, które obejmują szereg osobistych identyfikatorów, przedstawiają drogi dla cyberprzestępców do wykorzystania ofiar. Potencjalne nadużycia obejmują tworzenie nowych rachunków w instytucjach finansowych i rządowych, które mogą ułatwić takie programy, jak oszustwo związane z drutem i unikanie podatków. Ponadto skradzione informacje mogą być wykorzystane do ataków włókiennych, zaprojektowanych do wdrażania złośliwego oprogramowania, a nawet ransomware w stosunku do dotkniętych osób. Aby ograniczyć ryzyko, osobom zaleca się zachowanie ostrożności podczas napotkania niezamówionej komunikacji i pilnie monitorowania swoich oświadczeń bankowych pod kątem podejrzanych działań.
