A 700Credit revelou uma violação de dados que expôs informações pessoais sensíveis ligadas ao financiamento de veículos nos Estados Unidos. A empresa oferece serviços de relatório de crédito e conformidade para milhares de concessionárias e credores em todo o país. De acordo com divulgações regulatórias, o acesso não autorizado aos seus sistemas resultou na cópia de registros de consumidores que incluíam dados altamente sensíveis. A violação afetou as informações processadas em nome de concessionárias envolvidas em financiamento automotivo, motorhome, esportes motorizados e marítimo.
O incidente foi identificado após a detecção de atividade suspeita no final de outubro de 2025. Uma investigação descobriu que uma interface de programação de aplicações de terceiros conectada a uma aplicação web 700Credit havia sido comprometida. Por meio desse acesso, um atacante conseguia copiar dados do consumidor armazenados na plataforma. Os registros afetados foram coletados ao longo de vários meses antes que a atividade fosse descoberta e contida.
O 700Credit afirmou que as informações expostas incluíam nomes, endereços, datas de nascimento e números do Seguro Social. A empresa afirmou que não há indicação de que sua rede interna principal tenha sido violada. Em vez disso, os dados eram acessados pelo ambiente de aplicação conectado. Uma vez identificado o problema, a 700Credit afirmou que tomou medidas para proteger os sistemas afetados e evitar novos acessos não autorizados.
Registros regulatórios indicam que mais de 5,8 milhões de pessoas foram impactadas. A empresa está coordenando notificações em nome de seus clientes concessionárias e planeja começar a enviar notificações por escrito para os indivíduos afetados em dezembro de 2025. A 700Credit informou que também notificou as autoridades policiais e autoridades relevantes sobre o incidente como parte de sua resposta.
Para enfrentar possíveis danos, a 700Credit está oferecendo aos indivíduos afetados 12 meses de serviços de monitoramento de crédito e restauração de identidade. A empresa afirmou que essas medidas têm como objetivo ajudar a detectar o uso indevido de informações expostas, como roubo de identidade ou atividades fraudulentas de crédito. Indivíduos cujos números de Previdência Social estiveram envolvidos podem enfrentar um risco elevado, pois tais dados podem ser usados para abrir contas fraudulentas ou obter financiamento sob identidades falsas.
Autoridades estaduais alertaram os consumidores para levarem a violação a sério caso recebam uma notificação. As medidas recomendadas incluem revisar relatórios de crédito, colocar alertas de fraude ou congelamento de crédito com as principais agências de crédito, e permanecer atento a comunicações inesperadas relacionadas a empréstimos ou contas financeiras. Autoridades também alertaram que dados expostos podem ser usados em tentativas de phishing que fazem referência a compras automáticas ou atividades de financiamento.
O incidente destaca riscos contínuos associados a provedores de serviços terceirizados que lidam com dados financeiros sensíveis em larga escala. Sistemas de financiamento de concessionárias frequentemente processam grandes volumes de informações pessoais, tornando-se alvos atraentes para atacantes. Especialistas em segurança afirmaram que violações envolvendo números de Previdência Social podem ter consequências de longo prazo porque os dados não podem ser facilmente alterados.
A 700Credit informou que está revisando seus controles de segurança e práticas de gestão de acesso após a violação. A empresa afirmou que está trabalhando para fortalecer as proteções em relação a conexões e sistemas de monitoramento de terceiros. O caso se soma ao número crescente de incidentes que afetam prestadores de serviços que apoiam operações financeiras e de varejo críticas em todo os Estados Unidos.