Robinhood fa trapelare i dati di 7 milioni di utenti

Robinhood, la piattaforma di trading che è diventata molto popolare dopo il suo lancio nel 2015 grazie alla sua caratteristica di punta - il trading "senza commissione", ha riferito che le informazioni su ben 7 milioni di utenti sono trapelate a causa di una violazione dei dati. I 7 milioni di clienti Robinhood interessati dalla violazione costituiscono circa un terzo dell'intera base di utenti della piattaforma.

Robinhood ha annunciato che la violazione è avvenuta la scorsa settimana, il 3 novembre. Gli aggressori sono riusciti ad accedere ai dati di Robinhood dopo aver utilizzato quello che doveva essere un ingegneria sociale davvero intelligente. Secondo la dichiarazione rilasciata dalla piattaforma di trading, l'attacco è stato messo a segno dopo che uno dei cattivi attori ha parlato al telefono con un rappresentante del servizio clienti di Robinhood.

Secondo Robinhood il cattivo attore ha anche tentato di estorcere denaro alla compagnia per non far trapelare le informazioni esfiltrate. Il contenuto delle informazioni trapelate varia, ma la piattaforma di trading ha informato il pubblico che nessun numero di carta, previdenza sociale o numero di conto bancario è stato rubato durante la violazione.

Alla maggior parte dei clienti interessati dalla perdita sono stati trapelati solo i loro indirizzi e-mail. Tuttavia, le informazioni rubate contenevano anche circa 2 milioni di nomi reali completi da abbinare agli indirizzi e-mail. Informazioni più specifiche sono state estratte per un numero molto limitato di persone, considerando l'intera portata della violazione.

Poco più di 300 clienti hanno fatto trapelare i loro nomi completi, codici postali e date di nascita. Altri 10 clienti hanno avuto informazioni aggiuntive relative al loro account trapelate, ma Robinhood non ha specificato quali fossero esattamente quei dettagli, definendoli semplicemente "più estesi".

L'azienda sta informando personalmente tutti i clienti interessati, al fine di ridurre al minimo il rischio di ulteriori trucchi di ingegneria sociale.

Questo attacco dimostra ancora una volta quanto sia importante disporre di difese affidabili non solo sul fronte digitale ma anche nel proprio reparto HR. È fondamentale formare i dipendenti contro le truffe di ingegneria sociale, i vettori di attacco e le sottigliezze relative alle informazioni e agli account specifici che gestiscono. Il fattore umano non potrà mai essere eliminato del tutto da nessuna organizzazione e questo tipo di formazione resterà sempre fondamentale per mantenere un alto livello di sicurezza.