Der börsennotierte Blockchain-Kreditgeber Figure bestätigt Datenverletzung bei Kunden

Kurzfassung

• Figure bestätigte einen Datenverstoß und erklärte, dass ein Mitarbeiter in einem Social-Engineering-Angriff getäuscht wurde.
• Die gestohlenen Dateien sollen laut einem Bericht Namen, Adressen, Geburtsdaten und Telefonnummern enthalten.
• Der börsennotierte Kreditgeber bietet betroffenen Personen kostenlose Bonitätsüberwachung an.

Figure Technology bestätigte am Freitag, dass es zu einem Kundendatenverstoß gekommen ist, nachdem ein Mitarbeiter Ziel eines Social-Engineering-Angriffs wurde. Die Hackergruppe ShinyHunters beanspruchte die Verantwortung und erklärte, dass Figure sich weigerte, ein Lösegeld zu zahlen, und dass sie 2,5 Gigabyte gestohlener Daten veröffentlichten. TechCrunch, das zuerst über den Verstoß berichtete, sagte, dass es einige der Dateien geprüft habe, die vollständige Namen, Heimadressen, Geburtsdaten und Telefonnummern der Kunden enthielten. „Wir haben kürzlich festgestellt, dass ein Mitarbeiter social engineering-bedingt manipuliert wurde, was einem Akteur ermöglichte, eine begrenzte Anzahl von Dateien über dessen Konto herunterzuladen“, sagte Figure in einer Erklärung, die Decrypt vorlag. „Wir haben schnell gehandelt, um die Aktivitäten zu blockieren, und eine forensische Firma beauftragt, um zu untersuchen, welche Dateien betroffen sind.“ 

Social Engineering bezeichnet die Manipulation von Mitarbeitern durch täuschende E-Mails, Anrufe oder Nachrichten, um Zugriff auf Unternehmenssysteme zu erlangen, oft indem sie dazu verleitet werden, Zugangsdaten zu teilen oder unautorisierte Anfragen zu genehmigen. Ein Bericht von Chainalysis im Januar sagte, dass im letzten Jahr Kryptowährungen im Wert von über 17 Milliarden US-Dollar durch KI-gestützte Betrugsmaschen gestohlen wurden. Datenverstöße blieben im Jahr 2025 weit verbreitet, wobei Regulierungsbehörden mehr als 8.000 Benachrichtigungen im Zusammenhang mit über 4.000 Vorfällen registrierten, die mindestens 374 Millionen Menschen betrafen, so ein Bericht der Privacy Rights Clearinghouse vom Dezember 2025. Gegründet im Jahr 2018, ist Figure ein in New York ansässiger Kreditgeber, der seine Kreditplattform auf der Provenance-Blockchain betreibt und sich auf Home-Equity-Linienkredite spezialisiert hat. Figure ging im September 2025 unter dem Ticker FIGR an die Börse und sammelte bei einem IPO 787,5 Millionen US-Dollar ein, was das Unternehmen auf etwa 5,3 Milliarden US-Dollar bewertete.

Während der Sprecher keine weiteren Details preisgab, soll ein Mitglied von ShinyHunters TechCrunch zufolge gesagt haben, dass der Verstoß Teil einer größeren Kampagne gegen Unternehmen ist, die auf den Single Sign-On-Anbieter Okta angewiesen sind. Weitere angebliche Opfer waren die Harvard University und die University of Pennsylvania. Figure erklärte, dass man mit Partnern und betroffenen Parteien kommuniziere und zusätzliche Sicherheitsmaßnahmen umsetze. „Wir bieten allen Personen, die eine Benachrichtigung erhalten, kostenlose Bonitätsüberwachung an“, sagte das Unternehmen. „Wir überwachen Konten kontinuierlich und haben starke Schutzmaßnahmen zum Schutz der Gelder und Konten unserer Kunden.“ Die Nachricht vom Datenverstoß kommt, während Figure am Freitag die Einführung eines vorgeschlagenen sekundären öffentlichen Angebots von bis zu 4.230.000 Aktien seiner Series A Blockchain Common Stock ankündigte, mit Plänen, bis zu 30 Millionen US-Dollar an Class-A-Aktien von Underwritern zurückzukaufen. Die Aktie von Figure schloss den Tag mit einem Plus von 3,57 % bei einem Kurs von 35,29 US-Dollar, obwohl sie im letzten Monat um 37 % gefallen ist.