Robinhood lekt de gegevens van 7 miljoen gebruikers
Robinhood, het handelsplatform dat enorm populair werd nadat het in 2015 werd gelanceerd vanwege zijn vlaggenschipfunctie - "geen commissie" -handel, meldde dat informatie over maar liefst 7 miljoen van zijn gebruikers is gelekt als gevolg van een datalek. De 7 miljoen Robinhood-klanten die door de inbreuk zijn getroffen, vormen ongeveer een derde van het volledige gebruikersbestand van het platform.
Robinhood kondigde aan dat de inbreuk vorige week, op 3 november, plaatsvond. De aanvallers slaagden erin toegang te krijgen tot de gegevens van Robinhood nadat ze gebruik hadden gemaakt van wat een heel slimme social engineering moet zijn geweest. Volgens de verklaring van het handelsplatform werd de aanval afgeblazen nadat een van de slechte acteurs aan de telefoon was met een medewerker van de Robinhood-klantenservice.
Volgens Robinhood probeerde de slechte acteur ook geld van het bedrijf af te persen om de geëxfiltreerde informatie niet te lekken. De inhoud van de gelekte informatie varieert, maar het handelsplatform heeft het publiek laten weten dat er geen kaartnummers, sociale zekerheidsnummers of bankrekeningnummers zijn gestolen bij de inbreuk.
Bij de meeste klanten die door het lek zijn getroffen, is alleen hun e-mailadres gelekt. De gestolen informatie bevatte echter ook ongeveer 2 miljoen volledige echte namen die bij de e-mailadressen hoorden. Voor een zeer beperkt aantal mensen is meer specifieke informatie verkregen, gezien de volledige omvang van de inbreuk.
Iets meer dan 300 klanten hadden hun volledige namen, postcodes en geboortedata gelekt. Nog eens 10 klanten hadden aanvullende informatie met betrekking tot hun account gelekt, maar Robinhood specificeerde niet wat die details precies waren en noemde ze simpelweg "uitgebreider".
Het bedrijf is bezig om alle betrokken klanten persoonlijk te informeren om het risico op verdere social engineering-trucs te minimaliseren.
Deze aanval laat maar weer eens zien hoe belangrijk het is om een betrouwbare verdediging te hebben, niet alleen op het digitale front, maar ook op je HR-afdeling. Het is van vitaal belang om werknemers te trainen tegen social engineering-zwendel, aanvalsvectoren en subtiliteiten met betrekking tot de specifieke informatie en accounts die ze verwerken. De menselijke factor kan in geen enkele organisatie volledig worden geëlimineerd en dit soort training zal altijd essentieel blijven om een hoog beveiligingsniveau te handhaven.