[English]Das US-Unternehmen Robinhood Markets hat einen Datenschutzvorfall bestätigt, der die persönlichen Daten von rund 7 Millionen Kunden betrifft. Das sind etwa ein Drittel der Nutzer. Ein Cyberangreifer hat unter anderem E-Mails erbeutete, was zu Folgeangriffen auf Robinhood-Kunden führen könnte. Der Cyberangreifer versuchte, das Unternehmen zu erpressen, nachdem er durch Social Engineering eines Kundendienstmitarbeiters Zugang zu E-Mail-Adressen und mehr erhalten hatte.
Anzeige
Robinhood Markets, Inc. ist ein US-amerikanisches Finanzdienstleistungsunternehmen, welches eine Website betreibt und mobile Apps für iPhone, Apple Watch und Android anbietet. Über diese Optionen bietet Robinhood die Möglichkeit, in Aktien, ETFs und Optionen zu investieren und Krypto-Handel über Robinhood Crypto zu betreiben. In dieser Mitteilung bestätigt Robinhood den Cyberangriff, der bereits am 3. November 2021 stattfand.
Robinhood Announces Data Security Incident
Late in the evening of November 3, we experienced a data security incident. An unauthorized third party obtained access to a limited amount of personal information for a portion of our customers. Based on our investigation, the attack has been contained and we believe that no Social Security numbers, bank account numbers, or debit card numbers were exposed and that there has been no financial loss to any customers as a result of the incident.
The unauthorized party socially engineered a customer support employee by phone and obtained access to certain customer support systems. At this time, we understand that the unauthorized party obtained a list of email addresses for approximately five million people, and full names for a different group of approximately two million people. We also believe that for a more limited number of people—approximately 310 in total—additional personal information, including name, date of birth, and zip code, was exposed, with a subset of approximately 10 customers having more extensive account details revealed. We are in the process of making appropriate disclosures to affected people.
Offenbar ist es dem Angreifer gelungen, per Social Engineering Zugriff auf das Konto eines Kundendienstmitarbeiters und somit Zugang zu E-Mail-Adressen und mehr zu erhalten. Dabei wurden fünf Millionen Kundendaten und nochmals weitere 2 Millionen Kundendaten erbeutet. Es handelt sich um persönliche Daten wie Name, Geburtsdatum etc. Unklar ist, ob auch Zugriff auf Finanzdaten (Kontendaten) gelungen ist. Bleeping Computer hat hier noch ein paar Informationen veröffentlicht.
Nachdem das Unternehmen den Eindringling ausgesperrt hatte, versuchte dieser das Unternehmen zu erpressen. Die Firma hat umgehend die Strafverfolgungsbehörden informiert und untersucht den Vorfall weiterhin mit Hilfe von Mandiant, einem externen Sicherheitsunternehmen.
Anzeige
