導讀

Robinhood 交易平臺最近披露了一起數據泄露事件，竊取了該應用程序用戶群約三分之一的個人數據，約700萬人。攻擊的消息于 11 月 8日星期一發布， 同時有消息稱其背后的黑客要求公司支付勒索款項。

據羅賓漢的披露，在襲擊發生在11月3日，這使得未授權方獲得如下：

大約 500 萬人的電子郵件地址。

另一組 200 萬人的全名。

此外，一小部分的 Robinhood 客戶群體還有更多的信息被泄露。大約 310人的姓名、出生日期和郵政編碼在數據泄露事件中暴露。根據 Robinhood 的披露，另外 10 位客戶“披露了更廣泛的賬戶詳細信息”。

交易平臺能夠關閉入侵，這對攻擊者來說并不滿意，攻擊者在被鎖定后試圖勒索 Robinhood 要求付款。Robinhood 進一步表示，該公司控制了入侵行為，并立即將勒索要求通知了執法部門。Robinhood 表示，它正在一家安全公司的協助下繼續調查這起事件。

“作為一家安全第一的公司，我們對客戶負有透明和誠信行事的義務。經過認真的審查，現在讓整個 Robinhood 社區注意到這一事件是正確的做法，”Robinhood 首席安全官 Caleb Sima 說。

該公司建議其客戶訪問 Robinhood 幫助中心以接收該公司的最新消息，并指出他們絕不會在安全警報中包含訪問帳戶的鏈接。

此次泄露事件顯然暴露了大約 500 萬個電子郵件地址，因此存在這些可能最終落入黑客手中的風險，這些黑客可能會利用這些地址進行后續攻擊。

其中值得注意的是網絡釣魚攻擊，黑客可以通過虛假消息將 Robinhood 用戶作為目標，試圖讓受影響的用戶透露更多帳戶信息。例如，黑客可能會創建看似來自 Robinhood 的虛假電子郵件，并將用戶定向到請求帳戶信息的惡意站點。正如 Robinhood 所說，該公司絕不會在安全警報中包含訪問帳戶的鏈接。用戶應直接訪問 Robinhood 站點以獲取帳戶信息。

這種違規行為也可能導致其他網絡釣魚攻擊，這些攻擊可能會或可能不會構成來自 Robinhood 的通信。其中一些網絡釣魚攻擊很容易被發現，因為它們可能包括拼寫錯誤、渲染不佳的欺騙性網址。然而，一些老練的黑客可能會推出相當精致的網絡釣魚攻擊，這些攻擊與合法通信非常相似。

來源：E安全