Les données de 7 millions d'utilisateurs de Robinhood volées par téléphone
Robinhood a annoncé une violation de données qui a exposé les informations de quelque 7 millions d'utilisateurs après qu'un employé a donné à un pirate informatique l'accès aux systèmes internes. Les techniques d'ingénierie sociale étaient à l'œuvre.
La violation de la sécurité a eu lieu le 3 novembre, lorsqu'une certaine personne a simplement appelé le service clientèle de l'application d'investissement. L'appelant a ensuite convaincu un employé de Robinhood de lui donner accès à des informations importantes sur les utilisateurs, et il a réussi à obtenir les adresses électroniques d'environ 5 millions de personnes et les noms complets d'environ 2 millions d'autres.
C'est déjà assez mauvais en soi, mais c'est devenu encore pire à partir de là. Robinhood signale également que les détails d'environ 310 personnes ont été divulgués à une adresse encore plus complète, y compris leurs noms, dates de naissance et codes postaux. Dix de ces clients ont eu encore plus de détails sur leurs comptes divulgués, mais Robinhood ne dit pas exactement quelles informations ont été obtenues par l'attaquant.
Heureusement pour la plupart des clients, Robinhood affirme qu'aucun numéro d'assurance nationale, numéro de compte bancaire ou numéro de carte de crédit ne figurait parmi les informations volées.
Il faut accorder du crédit aux compétences en ingénierie sociale de l'attaquant inconnu. La plupart des gens supposent qu'une personne tentant d'accéder aux données privées des utilisateurs ne penserait probablement pas à appeler un numéro de service clientèle accessible au public.