攻擊事件發生在 2021 年 11 月 3 日,有一位 Robinhood 客戶服務部的員工,接到駭侵攻擊者的電話;該攻擊者以社交工程(social engineering)手法,取得 Robinhood 客服系統的存取權限。
駭侵者隨後利用取得的存取權限,取得大批 Robinhood 線上券商的用戶資料,資料欄位包括用戶全名、Email 地址等,有一部分用戶的出生年月日與郵遞區號等機敏資訊也同時遭竊。
據 Robinhood 發布的公告指出,詳細的資料遭竊與受害者數量情形如下:Email 外洩(500 萬人)、真實姓名(200 萬人)、姓名+生日+郵遞區號(300 人)、更多個資(10人)。
Robinhood 說,該公司目前正在針對整個資料外洩事件展開詳細調查工作,目前沒有跡象顯示包括用戶的社會安全號碼、銀行帳號、金融卡卡號等金融相關資料在這次事件中遭竊。
雖然這次外洩事件中流出的用戶資料種類有限,但資安專家指出,這些資料以足夠讓駭侵者據以發動各種進一步的資安攻擊,例如釣魚攻擊或社交工程攻擊等。
專家呼籲 Robinhood 用戶,近期應對各種形式的釣魚攻擊提高警覺,因為駭侵者可能會假冒 Robinhood 或其他機構發送釣魚信件,假稱用戶帳號出現問題,藉以騙取用戶輸入帳號登入資訊。
