株式取引・投資アプリ「Robinhood」は、攻撃者がカスタマーサポートの従業員のアカウントにハッキングし、数百万人のユーザーの個人データを盗み出し、身代金の支払いを求めて恐喝しようとしたと発表しました。
301 Moved Permanently
11月3日深夜、データ・セキュリティ・インシデントが発生しました。承認されていない第三者が、一部のお客様の限られた個人情報にアクセスしました。調査の結果、この攻撃は食い止められており、社会保障番号、銀行口座番号、デビットカード番号の流出はなく、この事故によるお客様の金銭的損失はないと考えています。
同社はブログ記事の中で「攻撃者がカスタマーサポートの従業員を電話でソーシャルエンジニアリングし、特定のカスタマーサポートシステムへのアクセスを取得した」と説明しています。
このアカウントを経由して、侵入者は膨大な量のユーザーデータにアクセスし、収集することができたようです。
Robinhoodによると、ハッカーが収集したデータには以下のような詳細が含まれています。
- 500万人のユーザーの電子メールアドレス
- 200万人のユーザーの本名
- 310人のユーザーの氏名、生年月日、郵便番号
- 約10名のユーザーの広範な個人情報
Robinhoodによると侵入を検知した後に、セキュリティ会社のMandiant社と協力してサーバーの安全を確保しました。
同時に攻撃者は同社に対し、侵害を開示しないよう身代金の支払いを求めてきました。
Robinhoodは、代わりに法執行機関に通知したと述べています。
これは、同社にとってこれまでで最大のセキュリティ事件となり、小ロットのユーザーアカウントがたまにハッキングされることは認めていますが、これほどの規模の侵害が報告されたことはありませんでした。
Comments