Robinhood divulgue les données de 7 millions d'utilisateurs

Robinhood, la plateforme de trading qui est devenue très populaire après son lancement en 2015 en raison de sa fonctionnalité phare - le trading "sans commission", a signalé que des informations sur 7 millions de ses utilisateurs avaient été divulguées à la suite d'une violation de données. Les 7 millions de clients Robinhood touchés par la violation représentent environ un tiers de l'ensemble de la base d'utilisateurs de la plate-forme.

Robinhood a annoncé que la violation avait eu lieu la semaine dernière, le 3 novembre. Les attaquants ont réussi à accéder aux données de Robinhood après avoir utilisé ce qui devait être une ingénierie sociale vraiment intelligente. Selon le communiqué publié par la plateforme de trading, l'attaque a été menée à bien après que l'un des mauvais acteurs ait téléphoné à un représentant du service client de Robinhood.

Selon Robinhood, le mauvais acteur a également tenté d'extorquer de l'argent à la société afin de ne pas divulguer les informations exfiltrées. Le contenu des informations divulguées varie, mais la plateforme de trading a informé le public qu'aucun numéro de carte, numéro de sécurité sociale ou numéro de compte bancaire n'avait été volé lors de la violation.

La majorité des clients concernés par la fuite n'ont vu que leurs adresses e-mail divulguées. Cependant, les informations volées contenaient également environ 2 millions de vrais noms complets pour aller avec les adresses e-mail. Des informations plus spécifiques ont été extraites pour un nombre très limité de personnes, compte tenu de l'ampleur de la violation.

Un peu plus de 300 clients ont vu leurs noms complets, codes postaux et dates de naissance divulgués. 10 autres clients ont vu des informations supplémentaires relatives à leur compte divulguées, mais Robinhood n'a pas précisé quels étaient exactement ces détails, les qualifiant simplement de "plus complets".

L'entreprise est en train d'informer personnellement tous les clients concernés, afin de minimiser le risque d'autres astuces d'ingénierie sociale.

Cette attaque montre une fois de plus à quel point il est important d'avoir des défenses fiables non seulement sur le front numérique mais aussi dans votre service RH. La formation des employés contre les escroqueries d'ingénierie sociale, les vecteurs d'attaque et les subtilités liées aux informations et aux comptes spécifiques qu'ils gèrent est vitale. Le facteur humain ne peut jamais être totalement éliminé d'une organisation et ce type de formation restera toujours essentiel pour maintenir un haut niveau de sécurité.