Robinhood五百万账户信息泄露,用户需警惕后续钓鱼邮件

Robinhood 用户在查收、回复 貌似来自Robinhood的邮件时,需谨慎调查邮件来源、邮件内容。

美国时间11月8日晚间,Robinhood,美国最受欢迎的股票交易和行情 App,突然披露了一起严重的数据安全事故。事故中,黑客非法获取了大约一个大约500万人的用户组的电子邮件地址,以及另外一个大约200万人用户组的姓名。

除此之外,大约310名用户的个人信息遭到泄露,包括姓名、生日、邮编等。这组用户当中,有10人属于严重泄漏的情况,也即可能泄露了更多的信息,但 Robinhood 并未提及具体哪些泄露,只是表示正在通过合适的途径联系受影响的用户。

除此之外,在事故中,没有类似银行卡号、SSN等敏感的财务相关数据遭到泄露。该公司宣称,黑客在事发之后曾索要赏金,但该公司并没有屈服。

首席安全官 Caleb Sima 表示,Robinhood “作为一家安全为先的公司,在彻查事故之后向全体用户公开澄清事故的真相,是正确的事情。”

在此之前,该公司于2019、2020年多次遭遇到黑客攻击,导致用户信息泄露和用户账户资金丢失,其中不乏因为严重的系统安全设计缺陷(如明文存储密码)而导致的泄露。

事故详情

很遗憾,无论一家公司有多注重安全,在系统安全方面投入了大量的金钱和先进技术,这家公司仍然会存在一个可能被轻易攻破的方面。

这个方面,就是人。

在本次事故中,Robinhood 正是在员工安全意识方面出了问题。据该公司透露,在11月3日,黑客以社会工程学的手段,通过电话取得了一名客服人员的信任,成功获得了客服系统的登录权限,并最终导出了大约500万名用户的电子邮箱。

正如前述,本次安全事故中,存在几个受波及程度不同的用户组别。这些组别的波及人数和泄露情况分别如下:

500万人:电子邮箱

200万人:姓名

310人:包括姓名、生日、邮编等在内的个人信息

10人:更加详尽的账户信息

Robinhood 公司发现事故并展开了止损工作。随后,黑客方面对该公司进行了敲诈,企图勒索一笔“赎金”。不过 Robinhood 并没有向黑客妥协,而是已经向相关执法和金融监管部门报案。

目前,该公司还在和一家具有美国军方背景的私人网络安全公司展开合作,展开事故调查。

由于主要泄露的信息是用户的电子邮件,知名安全专家 Brian Krebs 指出,之后针对 Robinhood 用户的钓鱼邮件可能会增加。因此,Robinhood 用户在查收、回复貌似来自Robinhood的邮件时,需谨慎调查邮件来源、邮件内容。

Robinhood 方面也宣称,公司官方和用户通讯的时候,永远不会用链接等方式试图获得用户的登录信息,也即呼吁用户加强安全意识,收到仿冒者的类似通讯时不要让其得逞。

数据安全问题缠身的 Robinhood

Robinhood 是目前美国最受欢迎的个人用户股票行情和交易软件之一。 其名字用意就是“劫富济贫”,让金融市场可以为普通人所用,而非仅限有钱人。

该公司的产品让股票交易和行情信息的获取门槛降低,让普通人不需要自己的股票经纪/投资顾问,就可以在手机上进行投资和交易。除此之外, 近几年 一些新创互联网金融 公司试图 颠覆美股 IPO 的打新传统,让散户 也能够进场成为玩家,而 Robinhood 也是这批平台当中最受欢迎的一个。

今年,由网络社区 Wallstreetbets 的散户投资者发起的轧空运动,成功逆转了 GameStop、AMC和黑莓等多只垃圾股票的走势,让主流做空机构和投行一度损失惨重。此事件中, 最早的协同交易行为就是在 Robinhood 上进行的,引发了大量新用户涌入注册和投资。

不久后,包括 Robinhood 在内的多个券商交易平台直接“拔网线”,暂停了涉事股票的交易,也遭到了散户投资者的集体诉讼。但不管怎样,至少对于 Robinhood 来说,这一波营销和拉新的效果是非常显著的。

虽然 Robinhood 一直以美国金融科技创新的领导者形象自居,但这家公司过去在技术安全事故和运营违规等方面,却可以算是个“惯犯”了。

2019年 6月24 日 , Robinhood 宣布了一笔高达 3.23亿美元的 E 轮融资,当时的估值增加了35%,达到76亿美元。然而就在融资消息宣布的同一天,该公司的工程师意外地发现:一部分用户的登陆密码,竟然以明文方式存储在系统里。

Robinhood 宣称,在发现了情况之后已经立刻进行了修改处理,并且事后调查没有发现这些信息被除了调查团队之外的任何人获取的情况。

明文存储用户密码这事儿听起来挺蠢的,但其实很多知名大公司都这样干过。仅在硅谷,光2018、19年,就已经爆出过 Twitter、GitHub、Facebook、Instagram 和 Google 等公司,当时都在用明文存储密码。

回到 Robinhood。当时该公司宣称此事没有造成事实的用户数据泄露——然而这可能不是真的。

去年,Robinhood 再次披露,大约2000名用户的数据遭到“连续入侵”,并且黑客还洗走了账户内的资金。

首先,黑客能够登入用户账户,就足够说明用户登录信息(密码,以及其他登录验证方式)被破解了。 其次,该公司对这一次所谓“连续入侵”的解释并不清晰。

以上情况不禁令人怀疑,Robinhood 是否低估了前一年密码明文存储事件的真正影响。

除此之外,Robinhood 过去还曾经发生过多次运营违规事件:

1)回扣事件:2018年,该公司被发现收入严重依赖交易所/做市商回扣,并且未能兑现给用户最优惠价格的承诺,因此遭到美国金融机构监管局125万美元的罚款。

此事件的背景,是近年券商平台疯狂内卷,集体转型“零佣金”模式,损失了一大部分收入,所以像 Robinhood 这样的平台开始转型“卖流量”,也即靠给交易所/做市商发单赚回扣。

2)无限杠杆事件:2019年,有用户发现 Robinhood 软件存在漏洞,订阅用户可以进行“无限循环”的保证金加杠杆交易操作,只花4000美元保证金就买了大约100万美元的股票,高达250倍杠杆。 后来,Robinhood 很快就封闭了这个所谓的漏洞。

3)用户隐瞒事件:2020年,Robinhood 涉嫌向高频交易公司转移用户订单,并且在过程中未向用户澄清,因此遭到了美国证券交易委员会的调查。Robinhood 最终支付了6500万美元的罚款。

4)GameStop 轧空运动:前面提到在 GME 等“垃圾”股票价格暴涨之后,Robinhood很快强行关闭了对这些股票的交易功能,遭到了用户的强烈反对和游行示威,甚至连美国国会都传召该公司 CEO Vlad Tenev 出席听证会解释其所作所为。 知名美国民主党进步派议员 Alexandria Ocasio-Cortez 谴责 Robinhood 的行为,“Robinhood 的决定让散户投资者无法购买股票,但与此同时对冲基金却能够毫无限制地进行交易。 ”

总之,这次信息泄露事件再次给Robinhood敲响了信息安全问题的警钟。

本文来自微信公众号“硅星人”(ID:guixingren123),作者:光谱杜晨,36氪经授权发布。

关键词: 账户 邮件 用户

推荐DIY文章
盲盒一年赚10亿,为什么资本市场不买泡泡玛特的账?
新茶饮“降价内卷”的尽头,是供应链?
Saleforce增长放缓:SaaS的天花板在哪里?
丰巢:何处安放?
净利断崖式下滑?从IGG 2021财报看出海厂商面临的挑战与机遇
互联网招聘平台,卷在最冷“春招”
阿里会放弃飞猪吗?
NFT内幕交易猖獗,LVMH老板之子也来插一脚?
程一笑还没让快手彻底“回魂儿”
资本热捧,却遭年轻人疯狂转手,小家电不香了?
互联网会变成传统行业吗?
抖音盯上二手电商:压力来到了闲鱼转转爱回收这边
“i茅台”能拯救茅台吗?
又到旺季,凉透了的小龙虾还能翻身吗?
13家公司累计融资超60亿元,昆虫蛋白缘何成为新风口?
我花50w,成全了瑞幸和星巴克的“博弈”
贵州茅台,“一哥”的隐忧
咖啡格局已变,还能容下瑞幸?
快手选择「不躺平」
英国的B面:包容文化孕育绝佳商业环境与发达的科技
历史抛弃了火腿肠