Signzy, ein beliebter Anbieter, der mehreren großen Finanzinstituten, Geschäftsbanken und Fintech-Unternehmen „Know Your Customer“-Online-Identitätsprüfungs- und Kunden-Onboarding-Dienste anbietet, hat einen Sicherheitsvorfall bestätigt, wie TechCrunch exklusiv berichten kann.
Das in Bengaluru ansässige Startup, das mehr als 600 Finanzinstitute auf der ganzen Welt bedient – darunter die vier größten indischen Banken – wurde laut Quellen im Gespräch mit TechCrunch letzte Woche von einem Cyberangriff getroffen. Am Samstag teilte Signzy gegenüber TechCrunch mit, dass man sich des Sicherheitsvorfalls bewusst sei, sich jedoch weigerte, näher darauf einzugehen.
Indiens Computer Emergency Response Team, bekannt als CERT-In, bestätigte gegenüber TechCrunch separat, dass es von dem Vorfall wusste und „im Begriff ist, mit der zuständigen Behörde geeignete Maßnahmen zu ergreifen“.
Signzy wurde 2015 gegründet und ermöglicht das monatliche Onboarding von 10 Millionen Kunden und Unternehmen. Das Startup, das neben Niederlassungen in Bengaluru, Gurugram und Mumbai auch Büros in New York und Dubai hat, zählt mehrere große Unternehmen zu seinen Hauptkunden, darunter ICICI Bank, SBI, MSwipe und Aditya Birla Financial Services.
TechCrunch erfuhr von dem Sicherheitsvorfall aus Quellen, darunter zwei Signzy-Kunden, die sich Sorgen über angebliche Kundendaten machten, die kurz in einem von TechCrunch gesehenen Forumsbeitrag zu Cyberkriminalität auftauchten.
PayU, ein weiterer Signzy-Kunde, sagte, Signzy sei von „Informationsdiebstahl-Malware“ betroffen und habe von dem Vorfall nichts mitbekommen.
„Die informationsstehlende Malware von Signzy hat keine Auswirkungen auf PayU-Kunden oder deren Daten. Wir haben vom Anbieter eine schriftliche Bestätigung erhalten, dass PayU und seine Kundendaten nicht kompromittiert wurden und mit den besten Sicherheitsstandards sicher bleiben“, sagte PayU-Sprecher Dimple Mehta gegenüber TechCrunch.
Andere Kunden sagten, sie seien nicht betroffen. Auf eine Befragung durch TechCrunch antwortete die ICICI Bank, dass sie nichts mit dem Vorfall zu tun habe.
In einer Erklärung gegenüber TechCrunch lehnte Signzy es ab, sich dazu zu äußern, ob Kundendaten exfiltriert wurden. Debdoot Majumder, eine Sprecherin von Signzy, sagte, das Unternehmen habe eine „professionelle Agentur mit der Untersuchung von Sicherheitsvorfällen beauftragt“.
Das Startup, das von Investoren wie Mastercard, Vertex Ventures, Kalaari Capital und Gaja Capital unterstützt wird, sagte, es habe seine Kunden, Aufsichtsbehörden und Stakeholder über den Sicherheitsvorfall informiert.
Auf die Frage, ob das Unternehmen mit der Reserve Bank of India, der Zentralbank des Landes, Geschäfte gemacht habe, sagte Signzy, es habe keine Kommunikation gehabt. Die Zentralbank reagierte nicht auf eine Bitte um Stellungnahme.
