Die Handelsplattform Robinhood gab am Montag bekannt, dass während einer Datenschutzverletzung am 3. November auf personenbezogene Daten von mehr als 7 Millionen Kunden zugegriffen wurde. Das Unternehmen teilte in einer Pressemitteilung mit, dass anscheinend keine Sozialversicherungsnummern, Bankkontonummern oder Debitkartennummern preisgegeben wurden und keine Kunden aufgrund des Vorfalls einen „finanziellen Verlust“ erlitten haben.
Ein nicht autorisierter Dritter habe “einen Mitarbeiter des Kundensupports per Telefon sozial manipuliert”, sagte Robinhood und konnte auf seine Kundensupportsysteme zugreifen. Der Angreifer konnte eine Liste mit E-Mail-Adressen von etwa 5 Millionen Personen und die vollständigen Namen einer separaten Gruppe von 2 Millionen Personen erhalten. Für eine kleinere Gruppe von etwa 310 Personen wurden zusätzliche persönliche Informationen wie Namen, Geburtsdaten und Postleitzahlen preisgegeben, und für etwa 10 Kunden wurden „ausführlichere Kontodetails“ preisgegeben.
Das Unternehmen machte keine weiteren Informationen zu diesen „umfangreichen“ Details, aber ein Sprecher sagte auf eine Anfrage von The Verge, dass selbst für diese 10 Kunden „wir glauben, dass keine Sozialversicherungsnummern, Bankkontonummern oder Lastschriften vorhanden sind“. Kartennummern wurden aufgedeckt.“ Der Sprecher lehnte es ab, zu sagen, ob einer der Kunden möglicherweise speziell ins Visier des Hacks geraten war, aber das Unternehmen sagte, es sei dabei, die Betroffenen zu benachrichtigen.
„Nach einer sorgfältigen Überprüfung ist es richtig, jetzt die gesamte Robinhood-Community über diesen Vorfall zu informieren“, sagte Caleb Sima, Chief Security Officer von Robinhood, in einer Erklärung.
Nachdem Robinhood den Angriff eindämmen konnte, sagte Robinhood, der nicht autorisierte Dritte habe eine „Erpressung“ beantragt, und das Unternehmen benachrichtigte die Strafverfolgungsbehörden, sagte jedoch nicht, ob es Zahlungen geleistet hatte. Robinhood nahm die Hilfe der externen Sicherheitsfirma Mandiant in Anspruch, um den Vorfall zu untersuchen. Charles Carmakal, CTO von Mandiant, sagte in einer an The Verge per E-Mail gesendeten Erklärung, dass „dieser Bedrohungsakteur kürzlich bei einer begrenzten Anzahl von Sicherheitsvorfällen beobachtet wurde und wir erwarten, dass sie in den nächsten Monaten weiterhin andere Organisationen ins Visier nehmen und erpressen werden. ” Er ging nicht näher darauf ein.
Kunden, die Informationen darüber suchen, ob ihre Konten betroffen sind, sollten die Hilfe auf der Website des Unternehmens besuchen.
Verwandte
Wie r/WallStreetBets die Aktie von GameStop gespielt hat
Robinhood hatte bisher ein steiniges Jahr 2021; Im Januar stellte es den Handel ein, da Redditors dazu beitrugen, die Kurse sogenannter Meme-Aktien wie GameStop und AMC Theatres zu erhöhen. Die Vorfälle führten zu einer Anhörung vor dem Kongress, bei der CEO Vlad Tenev zusammen mit Reddit-CEO Steve Huffman und dem Händler Keith Gill alias RoaringKitty aussagte.
Das Unternehmen begann im Juli mit dem Handel an der Nasdaq-Börse, mit dem schlechtesten Marktdebüt unter 51 US-Firmen, die nach Angaben von Bloomberg so viel oder mehr Geld aufgebracht haben wie Robinhood. In seiner S-1-Einreichung bestätigte Robinhood eine kürzlich durchgeführte Untersuchung der SEC Enforcement Division und dass die US-Staatsanwaltschaft für den Northern District of California einen Durchsuchungsbefehl für Tenevs Telefon erlassen hatte.