Handelsplattform Robinhood sa i måndags att personlig information för mer än 7 miljoner kunder nås under ett dataintrång den 3 november. Företaget sa i ett pressmeddelande att det inte verkar som att personnummer, bankkontonummer eller betalkortsnummer var exponerade, och inga kunder har haft “ekonomisk förlust” på grund av incidenten.
En obehörig tredje part “socialt konstruerade en kundsupportanställd per telefon”, sa Robinhood, och kunde komma åt sina kundsupportsystem. Angriparen kunde få en lista med e-postadresser för cirka 5 miljoner människor och fullständiga namn för en separat grupp på 2 miljoner människor. För en mindre grupp på cirka 310 personer avslöjades ytterligare personlig information, inklusive namn, födelsedatum och postnummer, och för cirka 10 kunder avslöjades ”mer omfattande kontouppgifter”.
Företaget gav inte ytterligare information om vad dessa “omfattande” detaljer var, men en talesperson sa som svar på en fråga från The Verge att även för dessa 10 kunder, “tror vi att inga personnummer, bankkontonummer eller debitering kortnummer avslöjades.” Talesmannen avböjde att säga om någon av kunderna kan ha varit specifikt inriktade på hacket, men företaget sa att det var i färd med att underrätta de som hade drabbats.
“Efter en noggrann granskning är det rätt att göra hela Robinhood-gemenskapen underrättad om denna incident”, sa Robinhoods säkerhetschef Caleb Sima i ett uttalande.
Efter att det kunde hålla tillbaka attacken sa Robinhood att den obehöriga tredje parten sökte en “utpressningsbetalning”, och att företaget meddelade brottsbekämpningen men sa inte om det hade gjort några betalningar. Robinhood tog hjälp av ett externt säkerhetsföretag Mandiant när det utreder händelsen. Charles Carmakal, CTO för Mandiant, sa i ett uttalande som skickades till The Verge att de “nyligen hade observerat denna hotaktör i ett begränsat antal säkerhetsincidenter, och vi förväntar oss att de kommer att fortsätta att rikta in sig på och utpressa andra organisationer under de kommande månaderna. ” Han utvecklade inte närmare.
Kunder som söker information om huruvida deras konton påverkades bör besöka hjälpcentret på företagets webbplats.
Relaterat
Hur r/WallStreetBets spelade aktien i GameStop
Robinhood har haft ett stenigt 2021 hittills; i januari stoppade det handeln eftersom Redditors hjälpte till att pressa upp priserna på så kallade meme-aktier som GameStop och AMC Theatres. Incidenterna ledde till en kongressutfrågning där vd Vlad Tenev vittnade tillsammans med Reddits vd Steve Huffman och handlaren Keith Gill aka RoaringKitty.
Företaget började handla på Nasdaq-börsen i juli, med den sämsta marknadsdebuten bland 51 amerikanska företag som samlade in lika mycket pengar eller mer än Robinhood, enligt uppgifter från Bloomberg. I sin S-1-anmälan erkände Robinhood en nyligen genomförd förfrågan från SEC Enforcement Division och att USA:s åklagarkontor för Northern District of California hade verkställt en husrannsakningsorder för Tenevs telefon.