Handelsplatform Robinhood sagde mandag, at personlige oplysninger for mere end 7 millioner kunder blev tilgået under et databrud den 3. november. Virksomheden sagde i en pressemeddelelse, at det ikke ser ud til, at CPR-numre, bankkontonumre eller debetkortnumre blev afsløret, og ingen kunder har haft “økonomisk tab” på grund af hændelsen.
En uautoriseret tredjepart “socialt udviklet en kundesupportmedarbejder via telefon,” sagde Robinhood, og var i stand til at få adgang til sine kundesupportsystemer. Angriberen var i stand til at få en liste over e-mailadresser til cirka 5 millioner mennesker og fulde navne til en separat gruppe på 2 millioner mennesker. For en mindre gruppe på omkring 310 personer blev yderligere personlige oplysninger, herunder navne, fødselsdatoer og postnumre, afsløret, og for omkring 10 kunder blev “mere omfattende kontooplysninger” afsløret.
Virksomheden gav ikke yderligere oplysninger om, hvad disse “omfattende” detaljer var, men en talsmand sagde som svar på en forespørgsel fra The Verge, at selv for de 10 kunder, “mener vi, at ingen CPR-numre, bankkontonumre eller debet kortnumre blev afsløret.” Talsmanden afviste at sige, om nogen af kunderne kan have været specifikt målrettet i hacket, men selskabet sagde, at det var i gang med at underrette dem, der var blevet berørt.
“Efter en omhyggelig gennemgang er det den rigtige ting at gøre hele Robinhood-samfundet opmærksom på denne hændelse,” sagde Robinhoods sikkerhedschef Caleb Sima i en erklæring.
Efter at det var i stand til at begrænse angrebet, sagde Robinhood, at den uautoriserede tredjepart søgte en “afpresningsbetaling”, og virksomheden underrettede retshåndhævelsen, men sagde ikke, om den havde foretaget nogen betalinger. Robinhood fik hjælp fra det eksterne sikkerhedsfirma Mandiant, da det efterforsker hændelsen. Charles Carmakal, CTO for Mandiant, sagde i en erklæring sendt til The Verge, at den for nylig havde observeret denne trusselsaktør i et begrænset antal sikkerhedshændelser, og vi forventer, at de vil fortsætte med at målrette og afpresse andre organisationer i løbet af de næste mange måneder. ” Han uddybede ikke yderligere.
Kunder, der søger information om, hvorvidt deres konti var berørt, skal besøge hjælpecentret på virksomhedens websted.
Relateret
Hvordan r/WallStreetBets spillede aktien i GameStop
Robinhood har indtil videre haft et stenet 2021; i januar stoppede handelen, da Redditors hjalp med at presse priserne op på såkaldte meme-aktier som GameStop og AMC Theatres. Hændelserne førte til en kongreshøring, hvor CEO Vlad Tenev vidnede sammen med Reddit CEO Steve Huffman og forhandler Keith Gill aka RoaringKitty.
Virksomheden begyndte at handle på Nasdaq-børsen i juli, med den værste markedsdebut blandt 51 amerikanske firmaer, der rejste lige så mange penge eller mere end Robinhood, ifølge data fra Bloomberg. I sin S-1-ansøgning anerkendte Robinhood en nylig forespørgsel fra SEC Enforcement Division, og at USA's Attorney's Office for Northern District of California havde udført en ransagningskendelse på Tenevs telefon.