Sensible Informationen von mehr als acht Millionen Nutzern von Cash App Investing – einer Aktienhandels-App, die von Block, dem Eigentümer des Square-Zahlungssystems, betrieben wird – wurden offengelegt, als ein ehemaliger Mitarbeiter Unternehmensberichte herunterlud, nachdem er das Unternehmen verlassen hatte.
Block enthüllte die Offenlegung der Daten am Montag in einem Zulassungsantrag und sagte, man kontaktiere die betroffenen Kunden.
„Nach der Entdeckung haben wir Schritte unternommen, um dieses Problem zu beheben, und mit Hilfe eines führenden Forensikunternehmens eine Untersuchung eingeleitet“, sagte Fiona Lee, eine Sprecherin von Block. „Wir wissen, wie auf diese Berichte zugegriffen wurde, und wir haben die Strafverfolgungsbehörden benachrichtigt.“
Die offengelegten Daten betrafen nur Benutzer des Anlageprodukts von Cash App, nicht den Zahlungsdienst von Person zu Person mit rund 44 Millionen Benutzern, sagte das Unternehmen.
Die Informationen wurden von dem ehemaligen Mitarbeiter im Dezember abgerufen und enthielten Kundennamen und Cash App-Brokerage-Kontonummern. Für einige Kunden umfasste es auch ihren Portfoliowert, ihre Bestände und bestimmte Handelsaktivitäten. Die Informationen enthielten keine Benutzernamen, Passwörter, Sozialversicherungsnummern und andere persönlich identifizierbare Details, sagte Block in seiner Akte.
Unternehmen, die mit Finanzdaten umgehen, verfügen in der Regel über starke interne Systeme zum Schutz dieser Informationen. Frau Lee lehnte es ab, sich konkret dazu zu äußern, wie der ehemalige Mitarbeiter Zugang erlangte und ob das Unternehmen Anpassungen vorgenommen hatte, seit der Verstoß entdeckt wurde.
„Wir überprüfen und verstärken weiterhin administrative und technische Sicherheitsvorkehrungen zum Schutz von Informationen“, sagte sie in einer schriftlichen Erklärung.
Finanzunternehmen, die keine Banken sind, werden in der Regel weitaus weniger von Aufsichtsbehörden hinsichtlich ihrer Sicherheitssysteme geprüft als streng regulierte Banken. Square hat letztes Jahr eine Bankcharta für Square Financial Services erhalten, die es ihm ermöglicht, einige Bankdienstleistungen anzubieten, aber diese Einheit arbeitet unabhängig von Cash App.
Die Idee, dass sich ein ehemaliger Mitarbeiter irgendwie einschleichen konnte, bedeutete, dass etwas gründlich schief lief. „Um die Daten und die Sicherheit der Kunden ernst zu nehmen, müsste der externe Zugriff auf die Konten der Mitarbeiter gesichert und dieser Zugriff nach der Kündigung deaktiviert werden, vorzugsweise bevor der Mitarbeiter geht“, sagte James McQuiggan, Sicherheitsexperte bei KnowBe4, einem Schulungsunternehmen für Cybersicherheit.
Cash App ist eines der beliebtesten Zahlungssysteme von Person zu Person in den Vereinigten Staaten, hinter Zelle und Venmo von PayPal. Es wurde um Debitkarten, Zahlungstools für Händler und ein Steuervorbereitungssystem erweitert, das Block von Credit Karma gekauft hat. Die Datenschutzverletzung betraf keine Benutzer anderer Produkte als der Investment-App, sagte Block.
Kunden von Cash App Investing sagten in einem Reddit-Forum, dass sie am Montag per E-Mail Benachrichtigungen über den Vorfall erhalten hätten. Viele waren verärgert über den Bruch.
„Nun stellt sich die Frage, ob unsere Namen und Kontonummern ins Darknet gelangt sind oder nicht?“ schrieb ein User.