< p class="meta"> Door Jonathan Greig | 8 november 2021 | Onderwerp: Beveiliging
Robinhood heeft aangekondigd dat zijn populaire app is gehackt, waardoor miljoenen e-mailadressen, namen en meer zijn vrijgegeven.
In een verklaring die maandag werd vrijgegeven, zei Robinhood dat het het incident op de avond van 3 november ontdekte, en legde uit dat een “ongeautoriseerde derde partij” erin slaagde persoonlijke informatie van hun klanten te verkrijgen.
Het bedrijf was er snel bij om te zeggen dat er geen burgerservicenummers, bankrekeningnummers of debetkaartnummers bekend waren.
Maar ze gaven toe dat ongeveer 7 miljoen mensen informatie hadden gelekt tijdens de aanval. De getroffen klanten zijn gemaild.
“De onbevoegde partij heeft telefonisch een medewerker van de klantenondersteuning gemanipuleerd en toegang verkregen tot bepaalde klantenondersteuningssystemen. Op dit moment hebben we begrepen dat de onbevoegde partij een lijst met e-mailadressen van ongeveer vijf miljoen mensen en volledige namen voor een andere groep heeft verkregen van ongeveer twee miljoen mensen”, aldus het bedrijf.
“We zijn ook van mening dat voor een beperkter aantal mensen – ongeveer 310 in totaal – aanvullende persoonlijke informatie, waaronder naam, geboortedatum en postcode, is vrijgegeven, waarbij een subset van ongeveer 10 klanten uitgebreidere accountgegevens heeft. onthuld. We zijn bezig met het verstrekken van passende informatie aan de getroffen mensen.”
Robinhood zei dat de cybercrimineel hen bedreigde en “een betaling voor afpersing” eiste. Ze zeiden niet of ze het bedrag hadden betaald, maar merkten op dat ze contact hadden opgenomen met de politie en cyberbeveiligingsbedrijf Mandiant hadden ingehuurd.
“Als Safety First-bedrijf zijn we het aan onze klanten verplicht om transparant te zijn en integer te handelen”, zegt Robinhood Chief Security Officer Caleb Sima. “Na een zorgvuldige beoordeling is het de juiste keuze om de hele Robinhood-gemeenschap op de hoogte te stellen van dit incident.”
Mandiant Chief Technology Officer Charles Carmakal vertelde Bloomberg dat ze geloven dat de mensen achter de aanval zullen ” blijf de komende maanden andere organisaties targeten en afpersen.”
Robinhood kreeg in juli een boete van $ 70 miljoen van de Amerikaanse regelgevende instantie voor de financiële sector wegens het toebrengen van “aanzienlijke schade” aan “miljoenen klanten” voor een aantal systematische storingen, waaronder grote stroomonderbrekingen in maart 2020, evenals “valse of misleidende informatie” die naar klanten van het bedrijf.
Voor Robinhood-klanten die meer willen weten over hoe hun accounts worden beveiligd, stelt het bedrijf voor om naar de app te gaan en het gedeelte 'Accountbeveiliging' te bekijken.
Bob Rudis, chief data scientist bij Rapid7, vertelde ZDNet dat RobinHood in 2020 het slachtoffer was van een aanval en hij merkte op dat als een bedrijf eenmaal een doelwit is, ze de neiging hebben om op hitlijsten te blijven staan. Dit geldt met name voor enorm succesvolle startups in de financiële dienstverlening zoals Robinhood, voegde hij eraan toe.
Hoewel veel organisaties hun blik op ransomware hebben gericht, blijven traditionele cybercriminele ondernemingen felbegeerde identiteitsgegevens stelen van personen die waarschijnlijk aanzienlijke financiële activa hebben of willen hebben. Deze kerninformatie – naam, e-mailadres en andere metadata – wordt gebruikt in zeer gerichte (en, veel te vaak succesvolle) phishing-campagnes en identiteitsdiefstalcampagnes, waardoor alle potentiële uitgebreide slachtoffers van de kernaanval worden blootgesteld”, aldus Rudis.
“Iedereen die een RobinHood-klant is, moet extra waakzaam zijn en ervoor zorgen dat ze unieke wachtwoorden hebben voor hun cloudapplicatieportfolio en dat MFA op al deze applicaties is ingeschakeld (iedereen die een niet-triviale internetservice gebruikt die dat niet doet) ondersteuning MFA moet stoppen met het gebruik van genoemde dienst(en) en ernaar streven om zo veilig mogelijk online te zijn). Deze aanvallen blijven bestaan tegen alle financiële dienstverleners, en er is maar één misstap nodig om ten prooi te vallen aan slimme, gerichte campagnes.”
Beveiliging
Het beste phishing-doelwit? Uw smartphone Waarom je hebt deze beveiligingssleutel van $ 29 nodig FBI: Ransomware-groepen koppelen aanvallen aan 'belangrijke financiële gebeurtenissen' Signaal onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm je privacy tegen hackers, spionnen, de overheid E-Commerce | Security TV | Data Management | CXO | Datacenters