🏦 Contexte
Source : dépôt SEC (Form 8-K) publié le 10 juillet 2026 par SR Bancorp, Inc. L’incident concerne Mercadien, P.C. CPAs, un cabinet comptable fournissant des services d’audit interne à SR Bancorp, Inc. et à sa filiale Somerset Regal Bank.
🔓 Nature de l’incident
Un acteur non autorisé a accédé aux serveurs informatiques de Mercadien et a acquis des fichiers contenant des données clients de la banque. Il s’agit d’une attaque de type tiers (supply chain / third-party breach) ciblant le prestataire d’audit plutôt que la banque elle-même.
📋 Données compromises
Les informations exposées incluent :
- Noms des clients
- Numéros de sécurité sociale
- Numéros de compte bancaire
- Documents d’identité
- Dates de naissance
🏢 Périmètre de l’impact
- Les systèmes informatiques de Somerset Regal Bank n’ont pas été directement impliqués ni impactés.
- Aucune perturbation des opérations bancaires, de l’accès aux comptes, des systèmes de paiement ou de l’infrastructure IT centrale n’a été constatée.
📄 Type d’article
Il s’agit d’une annonce d’incident réglementaire publiée via la SEC (dépôt EDGAR), visant à informer les investisseurs et le public d’une violation de données affectant un prestataire tiers de la banque.
🧠 TTPs et IOCs détectés
TTP
- T1078 — Valid Accounts (Initial Access)
- T1005 — Data from Local System (Collection)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
🔴 Indice de vérification factuelle : 20/100 (basse)
- ⬜ sec.gov — source non référencée (0pts)
- ✅ 798 chars — extrait court (5pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.sec.gov/ix?doc=/Archives/edgar/data/0001951276/000094337426000261/srbk-20260706.htm