La piattaforma di trading Robinhood ha dichiarato lunedì che è stato possibile accedere alle informazioni personali di oltre 7 milioni di clienti durante una violazione dei dati il 3 novembre. La società ha dichiarato in un comunicato stampa che non sembra che siano stati esposti numeri di previdenza sociale, numeri di conto bancario o numeri di carte di debito e che nessun cliente abbia avuto “perdite finanziarie” a causa dell'incidente.
Una terza parte non autorizzata “ha ingegnerizzato socialmente un dipendente dell'assistenza clienti per telefono”, ha affermato Robinhood, ed è stata in grado di accedere ai suoi sistemi di assistenza clienti. L'aggressore è riuscito a ottenere un elenco di indirizzi e-mail per circa 5 milioni di persone e nomi completi per un gruppo separato di 2 milioni di persone. Per un gruppo più piccolo di circa 310 persone, sono state esposte ulteriori informazioni personali, inclusi nomi, date di nascita e codici postali, e per circa 10 clienti sono stati rivelati “dettagli dell'account più estesi”.
La società non ha fornito ulteriori informazioni su quali fossero questi dettagli “esaurienti”, ma un portavoce ha affermato in risposta a una domanda di The Verge che anche per quei 10 clienti “crediamo che nessun numero di previdenza sociale, numero di conto bancario o debito i numeri delle carte sono stati scoperti”. Il portavoce ha rifiutato di dire se qualcuno dei clienti potrebbe essere stato specificamente preso di mira nell'hack, ma la società ha affermato che era in procinto di notificare coloro che erano stati colpiti.
“A seguito di una diligente revisione, informare l'intera comunità di Robinhood di questo incidente ora è la cosa giusta da fare”, ha dichiarato Caleb Sima, chief security officer di Robinhood.
Dopo che è stata in grado di contenere l'attacco, Robinhood ha affermato che la terza parte non autorizzata ha cercato un “pagamento per estorsione” e la società ha informato le forze dell'ordine ma non ha detto se aveva effettuato pagamenti. Robinhood ha chiesto l'aiuto della società di sicurezza esterna Mandiant mentre indaga sull'incidente. Charles Carmakal, CTO di Mandiant, ha dichiarato in una dichiarazione inviata via e-mail a The Verge di aver “recentemente osservato questo attore di minacce in un numero limitato di incidenti di sicurezza e prevediamo che continueranno a prendere di mira ed estorcere altre organizzazioni nei prossimi mesi. ” Non ha approfondito ulteriormente.
I clienti che cercano informazioni sul fatto che i loro account siano stati interessati devono visitare il Centro assistenza sul sito Web dell'azienda.
Correlati
Come r/WallStreetBets ha giocato il titolo di GameStop
Robinhood ha avuto un 2021 roccioso finora; a gennaio, ha interrotto le negoziazioni poiché i Redditor hanno contribuito a far salire i prezzi dei cosiddetti titoli meme come GameStop e AMC Theatres. Gli incidenti hanno portato a un'udienza al Congresso in cui il CEO Vlad Tenev ha testimoniato insieme al CEO di Reddit Steve Huffman e al trader Keith Gill aka RoaringKitty.
La società ha iniziato a negoziare sulla borsa del Nasdaq a luglio, con il peggior debutto sul mercato tra 51 aziende statunitensi che hanno raccolto tanto denaro o più di Robinhood, secondo i dati di Bloomberg. Nel suo deposito S-1, Robinhood ha riconosciuto una recente inchiesta della SEC Enforcement Division e che l'ufficio del procuratore degli Stati Uniti per il distretto settentrionale della California aveva eseguito un mandato di perquisizione per il telefono di Tenev.