Wyciek danych w kasie kredytowej Connex dotyczy 172 000 członków

Naruszenie bezpieczeństwa Connex Credit Union ujawniło dane 172 000 członków, rozpoczęto dochodzenie prawne, eksperci wzywają ofiary do monitorowania kont w celu wykrycia oszustw i kradzieży tożsamości.

Poważne naruszenie bezpieczeństwa danych w Connex Credit Union objęło dane osobowe 172 000 członków. Kasa kredytowa, jedna z największych w Connecticut, odkryła 2 czerwca 2025 roku, że nieupoważniona osoba uzyskała dostęp do poufnych plików i pobrała je z jej systemów.

Zgodnie z powiadomieniem o naruszeniu złożonym w Biurze Prokuratora Generalnego stanu Maine, naruszenie zostało oficjalnie wykryte 27 lipca 2025 r., mimo że kasa kredytowa odnalazła pierwotny dostęp 3 czerwca. Firma zaczęła powiadamiać osoby dotknięte naruszeniem około 7 sierpnia 2025 r.

„Wydaje się, że to długo, że kasa kredytowa czekała ponad miesiąc z powiadomieniem ofiar ataku” – powiedział Roger Grimes, ewangelista ds. obrony opartej na danych w KnowBe4 . „Może zajęło im dwa tygodnie ustalenie, kto dokładnie ucierpiał, ale wygląda na to, że zidentyfikowali osoby, których atak dotyczył, a następnie czekali kolejne dwa tygodnie z powiadomieniem ofiar”. „To dwa tygodnie, w których hakerzy i oszuści mogli wykorzystać skradzione informacje do skuteczniejszego przeprowadzania ataków spear phishingowych na wybrane ofiary” – argumentował.

Opóźnienie to jest obecnie przedmiotem dochodzenia prowadzonego przez kancelarię prawną Schubert Jonckheer & Kolbe LLP, która sprawdza, czy opóźnienie mogło naruszyć przepisy stanowe i federalne.

Skradzione dane, będące częścią „naruszenia systemu zewnętrznego (hakowania)”, obejmują kombinację bardzo poufnych danych osobowych i finansowych. Hakerzy mogli przejąć imiona i nazwiska członków, numery kont, dane kart debetowych, numery ubezpieczenia społecznego i inne dokumenty tożsamości. Tego rodzaju informacje narażają członków na wysokie ryzyko kradzieży tożsamości i innych naruszeń prywatności. Według powiadomienia o naruszeniu, 467 osób, których dotyczyło naruszenie, to mieszkańcy stanu Maine.

W odpowiedzi na incydent, Connex Credit Union opublikował na swojej stronie internetowej ostrzeżenie o oszustwie. Ostrzeżenie ostrzega członków przed osobami podszywającymi się pod pracowników kasy kredytowej w rozmowach telefonicznych lub SMS-ach, ponieważ oszuści mogą próbować wykorzystać skradzione dane do uzyskania dostępu do kont.

Kasa kredytowa oświadczyła, że nigdy nie będzie prosić o podanie numeru PIN, hasła ani numeru konta przez telefon. Powiadomienie o naruszeniu zostało złożone w imieniu kasy przez adwokata Aubreya Weavera z kancelarii Constangy, Brooks, Smith & Prophete, LLP.

Kancelaria prawna Schubert Jonckheer & Kolbe LLP ogłosiła, że prowadzi dochodzenie w sprawie naruszenia danych w imieniu klientów. Uważają, że osoby, których dane zostały naruszone, mogą być uprawnione do odszkodowania finansowego oraz do żądania od kasy oszczędnościowo-kredytowej poprawy praktyk cyberbezpieczeństwa. Kancelaria specjalizuje się w pozwach zbiorowych przeciwko firmom, które nie chronią danych klientów.

Paul Bischoff, rzecznik ds. ochrony prywatności konsumentów w Comparitech, twierdzi, że aby zapewnić sobie bezpieczeństwo, „ofiary naruszeń danych powinny skorzystać z bezpłatnego monitoringu kredytowego oferowanego przez Connex, aby chronić się przed oszustwami i kradzieżą tożsamości. Nie popadaj w samozadowolenie, bo „nie ma dowodów” na nadużycia. Connex nie ma możliwości weryfikacji, czy Twoje dane osobowe są wykorzystywane w niewłaściwy sposób. Załóż najgorsze i uważnie obserwuj swoje konta”.

Wyciek danych w Connex Credit Union wpisuje się w rosnący trend cyberataków na instytucje finansowe. Na przykład, wiele naruszeń bezpieczeństwa w znanych firmach, w tym w Allianz Life , zostało powiązanych z grupą ShinyHunters . Inna grupa, Scattered Spider , stosuje podobne taktyki socjotechniczne, atakując szeroki wachlarz branż.