Robinhood a annoncé que son application populaire avait souffert d’une violation de données entraînant la fuite de noms, d’adresses e-mail et d’autres informations de plus de 7 millions d’utilisateurs.
Dans un communiqué publié lundi, Robinhood a déclaré avoir découvert l’incident le 3 novembre, affirmant qu’un "tiers non autorisé" avait réussi à obtenir les informations personnelles de millions de clients de Robinhood. La société a confirmé qu’aucun SSN, coordonnées bancaires ou les informations de carte de crédit ont été exposées.
« La partie non autorisée a organisé une ingénierie sociale par téléphone avec un employé du support client et a obtenu l’accès à certains systèmes de support client. À l’heure actuelle, nous comprenons que la partie non autorisée a obtenu une liste d’adresses e-mail pour environ cinq millions de personnes et les noms complets d’un groupe différent d’environ deux millions de personnes », a déclaré la société.
Robinhood a admis le fait que lors de l’attaque, des informations concernant 7 millions de clients ont été divulguées et qu’ils ont été informés par e-mail. La violation a divulgué les adresses e-mail d’environ 5 millions de clients, avec les noms complets et les dates de naissance divulgués d’environ 2 millions de clients.
Au cours du communiqué de presse, Robinhood a également indiqué que la violation pourrait avoir divulgué les noms, les codes postaux et les dates de naissance d’environ 310 personnes et les "détails du compte" d’environ 10 clients. La société a assuré qu’aucune information sur un compte bancaire ou sur une carte de crédit ne serait exposée.
Robinhood a également déclaré que les cybercriminels à l’origine de l’attaque avaient menacé l’entreprise et exigé "un paiement d’extorsion". Ils n’ont pas confirmé s’ils avaient payé la rançon, mais Robinhood a contacté les forces de l’ordre et engagé une société de cybersécurité Mandiant.
Le directeur de la technologie de Mandiant, Charles Carmakal, dans une déclaration à Bloomberg, a déclaré qu’ils pensaient que les cybercriminels à l’origine de l’attaque " continueront de cibler et d’extorquer d’autres organisations au cours des prochains mois ".
Robinhood a été condamné à une amende par la Financial Industry Regulatory Authority des États-Unis en juillet pour avoir causé du tort à des millions de clients à la suite de défaillances du système, y compris une panne majeure en mars 2020. Ils ont également été accusés d’avoir envoyé des "informations fausses et trompeuses" aux clients.
La société a ensuite déposé une demande d’introduction en bourse et les violations de données sont survenues trois mois seulement après sa première offre publique. La même tendance s’est poursuivie lors des récentes violations de données, après la violation de données Twitch en octobre et la violation de données T-Mobile en septembre.
Bob Rudis, scientifique en chef des données chez Rapid7, a déclaré que Robinhood avait également été victime d’une cyberattaque en 2020, dans une interview avec ZDNet. Il a également déclaré que la plupart des organisations se concentrent sur les attaques de ransomwares, alors que ces violations de données traditionnelles exposant les noms, les adresses e-mail et les métadonnées peuvent être tout aussi nuisibles. Il dit que ces informations sont utilisées dans des campagnes d’usurpation d’identité et de phishing.
Rudis a également recommandé aux clients de RobinHood d’être très prudents et d’utiliser des mots de passe uniques pour leurs applications cloud. Il est également recommandé d’activer MFA sur vos comptes pour renforcer la sécurité.