Robinhood annoncerede, at dens populære app har været udsat for et brud og har afsløret millioner af e-mailadresser, navne og mere.
I en erklæring udgivet mandag sagde Robinhood, at det opdagede hændelsen om aftenen den 3. november og forklarede, at en “uautoriseret tredjepart” formåede at indhente personlige oplysninger om deres kunder.
Virksomheden var hurtig til at sige, at ingen CPR-numre, bankkontonumre eller debetkortnumre blev afsløret.
Men de indrømmede, at omkring 7 millioner mennesker havde en vis mængde information lækket under angrebet. De berørte kunder er blevet mailet.
“Den uautoriserede part har socialt udviklet en kundesupportmedarbejder via telefon og opnået adgang til visse kundesupportsystemer. På nuværende tidspunkt forstår vi, at den uautoriserede part har fået en liste over e-mailadresser til cirka fem millioner mennesker og fulde navne for en anden gruppe omkring to millioner mennesker,” sagde virksomheden.
“Vi mener også, at for et mere begrænset antal mennesker – cirka 310 i alt – blev yderligere personlige oplysninger, herunder navn, fødselsdato og postnummer, afsløret, med en undergruppe på cirka 10 kunder med mere omfattende kontooplysninger afsløret. Vi er i gang med at give passende afsløringer til berørte mennesker.”
Robinhood sagde, at cyberkriminelle truede dem og krævede “en afpresningsbetaling.” De sagde ikke, om de betalte beløbet, men bemærkede, at de kontaktede retshåndhævelsen og hyrede cybersikkerhedsfirmaet Mandiant.
“Som en Safety First-virksomhed skylder vi vores kunder at være gennemsigtige og handle med integritet,” sagde Robinhoods sikkerhedschef Caleb Sima. “Efter en omhyggelig gennemgang er det den rigtige ting at gøre hele Robinhood-samfundet opmærksom på denne hændelse nu.”
Mandiant Chief Technology Officer Charles Carmakal fortalte Bloomberg, at de tror, at folkene bag angrebet vil ” fortsætte med at målrette og afpresse andre organisationer i løbet af de næste mange måneder.”
Robinhood blev i juli idømt en bøde på 70 millioner USD af US Financial Industry Regulatory Authority for at have forårsaget “betydelig skade” på “millioner af kunder” for en række systematiske fejl, herunder større afbrydelser i marts 2020, samt “falske eller vildledende oplysninger” sendt til kunder fra virksomheden.
For Robinhood-kunder, der er interesserede i at lære mere om, hvordan deres konti opbevares sikkert, foreslog virksomheden at gå til appen og se sektionen “Kontosikkerhed”.
Bob Rudis, chefdataforsker hos Rapid7, fortalte ZDNet, at RobinHood var et offer for et angreb tilbage i 2020, og han bemærkede, at når en virksomhed har været et mål, har de en tendens til at forblive på hitlister. Dette gælder især for vildt succesrige opstart af finansielle tjenester som Robinhood, tilføjede han.
Mens mange organisationer har rettet blikket mod ransomware, fortsætter traditionelle cyberkriminelle virksomheder med at stjæle eftertragtede identifikationsoplysninger fra personer, der sandsynligvis har – eller stræber efter at have – betydelige økonomiske aktiver. Disse kerneoplysninger – navn, e-mailadresse og andre metadata – bruges i meget målrettede (og alt for ofte succesrige) phishing-kampagner og identitetstyverikampagner, hvilket gør alle udsatte potentielle udvidede ofre for kerneangrebet,” sagde Rudis.
“Enhver, der er RobinHood-kunde, bør være ekstra på vagt og sikre, at de har unikke adgangskoder på tværs af deres cloud-applikationsportefølje og MFA aktiveret på dem alle (enhver, der bruger en ikke-triviel internettjeneste, der ikke support MFA bør ophøre med at bruge nævnte tjeneste(r) og stræbe efter at være så sikre som muligt online). Disse angreb fortsætter mod alle finansielle servicevirksomheder, og det kræver kun et fejltrin at blive offer for smarte, målrettede kampagner.”
Sikkerhed
Det bedste phishing-mål? Din smartphone Hvorfor du har brug for denne $29 sikkerhedsnøgle FBI: Ransomware-grupper, der binder angreb til 'betydelige økonomiske begivenheder' Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks information De 10 værste hardwaresikkerhedsfejl i 2021 Cybersikkerhed 101: Beskyt dit privatliv mod hackere, spioner, regeringen E-handel | Sikkerheds-tv | Datastyring | CXO | Datacentre