Robinhood meddelade att dess populära app led av ett dataintrång som resulterade i läckage av namn, e-postadresser och annan information från mer än 7 miljoner användare.
I ett uttalande på måndagen sa Robinhood att de upptäckte incidenten den 3 november och sa att en "obehörig tredje part" har lyckats få tag i personlig information från miljontals Robinhood-kunder. Företaget bekräftade att inga SSN, bankkontouppgifter eller kreditkortsinformation har avslöjats.
"Den obehöriga parten skapade socialt en kundsupportanställd per telefon och fick tillgång till vissa kundsupportsystem. Vid det här laget förstår vi att den obehöriga har fått en lista med e-postadresser för cirka fem miljoner människor och fullständiga namn för en annan grupp på cirka två miljoner människor", sa företaget.
Robinhood erkände att information om 7 miljoner kunder under attacken har läckt ut, och de har informerats via e-post. Intrånget läckte e-postadresser till cirka 5 miljoner kunder, med fullständiga namn och DOB:er som läckte ut cirka 2 miljoner kunder.
Under pressmeddelandet indikerade Robinhood också att intrånget kan ha läckt namn, postnummer och födelsedatum för cirka 310 personer och "kontouppgifter" för ungefär 10 kunder. Företaget såg till att inga bankkontouppgifter eller kreditkortsuppgifter tros vara exponerade.
Robinhood sa också att cyberbrottslingarna bakom attacken hotade företaget och krävde "en utpressningsbetalning." De har inte bekräftat om de har betalat lösensumman, men Robinhood har kontaktat brottsbekämpande myndigheter och anlitat ett cybersäkerhetsföretag Mandiant.
Mandiant Chief Technology Officer Charles Carmakal, i ett uttalande till Bloomberg, sa att de tror att cyberbrottslingar bakom attacken kommer att " fortsätta att rikta in sig på och utpressa andra organisationer under de kommande månaderna ."
Robinhood bötfälldes av US Financial Industry Regulatory Authority i juli för att ha orsakat skada på miljontals kunder till följd av systemfel inklusive ett större avbrott i mars 2020. De har också anklagats för att ha skickat "falsk och vilseledande information" till kunder.
Företaget ansökte sedan om att bli börsnoterat och dataintrången kom bara tre månader efter dess första offentliga erbjudande. Samma trend fortsatte under de senaste dataintrången, efter Twitch-dataintrånget i oktober och T-Mobiles dataintrång i september.
Bob Rudis, Chief Data Scientist på Rapid7 sa att Robinhood var ett offer för en cyberattack även 2020, i en intervju med ZDNet. Han sa också att de flesta organisationer fokuserar på ransomware-attacker, medan dessa traditionella dataintrång som avslöjar namn, e-postadresser och metadata kan vara lika skadliga. Han säger att sådan information används i identitetsstölder och nätfiskekampanjer.
Rudis rekommenderade även RobinHood-kunder att vara extra försiktiga och använda unika lösenord för sina molnappar. Det rekommenderas också att aktivera MFA på dina konton för att stärka säkerheten.