Robinhood ha rivelato che “diverse migliaia di voci” in un elenco ottenuto dagli hacker includevano numeri di telefono, indicando che una violazione della sicurezza del 3 novembre ha compromesso più informazioni di quelle originariamente riportate dalla società. Più precisamente, l'elenco contiene circa 4.400 numeri di telefono secondo Motherboard, che secondo quanto riferito ha ottenuto l'elenco da un “proxy per gli hacker”.
All'inizio di questo mese, Robinhood ha riferito che un dipendente caduto vittima di un attacco di ingegneria sociale ha portato gli hacker a ottenere 5 milioni di email di clienti e 2 milioni di nomi di clienti. Inoltre, circa 300 clienti avevano più dettagli come codici postali e date di nascita rubati, mentre 10 clienti avevano “rivelati dettagli dell'account più estesi”. I numeri di telefono non erano menzionati nel post originale dell'azienda.
Robinhood ha ribadito che non ritiene che siano stati rubati SSN o numeri di conto bancario
Robinhood ha detto a Motherboard che crede ancora che informazioni come la previdenza sociale, il conto bancario e i numeri delle carte di debito non siano stati compromessi, ma che sta anche analizzando “altre voci di testo” in una delle liste ottenute dagli hacker. La società ha anche pubblicato queste informazioni in un aggiornamento del suo post sul blog originale sull'incidente e ha affermato che avrebbe “continuato a fornire informazioni appropriate alle persone colpite”.
Questo non è il primo alcune nuove informazioni sono uscite da quando la società ha originariamente rivelato che era stata violata. La scorsa settimana Motherboard ha pubblicato anche schermate che mostrano gli strumenti e le informazioni extra a cui gli hacker hanno avuto accesso per circa 10 account, dopo che la pubblicazione afferma che sono state fornite da una fonte collegata agli hacker.
Come sottolinea Motherboard, l'accesso ai numeri di telefono degli utenti di Robinhood potrebbe rendere gli utenti vulnerabili allo scambio di SIM o ad attacchi mirati di phishing da parte degli hacker o di chiunque abbia venduto i numeri. È anche preoccupante che Robinhood non abbia rilasciato queste informazioni fino a più di una settimana dopo aver rivelato per la prima volta l'attacco. Sebbene sia possibile che la società non fosse a conoscenza dei numeri di telefono che erano stati presi, non è una spiegazione particolarmente rassicurante.