《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 知名券商Robinhood泄露700萬用戶資料:因員工被社會工程

知名券商Robinhood泄露700萬用戶資料:因員工被社會工程

2021-11-10
來源:互聯(lián)網(wǎng)安全內(nèi)參
關鍵詞: 券商 泄露

  攻擊者通過電話對Robinhood的客服代表展開社會工程攻擊,,成功訪問到客戶支持系統(tǒng),,并竊取了大量用戶資料,;

  針對大型互聯(lián)網(wǎng)平臺的社會工程攻擊屢見不鮮,,去年7月推特也遭遇類似事件,數(shù)十個超級政商名流的賬號遭到劫持,,發(fā)布比特幣詐騙信息,;

  這是Robinhood公司迄今為止經(jīng)歷的最重大安全事件。

  美國知名互聯(lián)網(wǎng)股票交易平臺Robinhood已經(jīng)證實,,在上周遭到黑客攻擊,,有超過500萬個客戶電子郵件地址、200萬個客戶姓名以及一小批更為具體的客戶身份數(shù)據(jù)被惡意人士掌握,。

  該公司在官方博客中披露,,某惡意黑客于11月3日通過電話對一名客服代表展開社會工程攻擊,成功訪問到客戶支持系統(tǒng),,并獲得了上述客戶姓名,、電子郵件地址以及310位客戶的具體身份數(shù)據(jù)(包括全名、出生日期及郵政編碼),。

  Robinhood公司表示,,還有10位客戶的“更多賬戶細節(jié)信息遭到外泄”,但并沒有具體做出解釋,。不過他們強調(diào)泄露內(nèi)容不涉及社保號碼,、銀行賬戶或者借記卡號,也沒有給客戶造成直接經(jīng)濟損失,。

  但惡意黑客完全可以利用這些信息對受害者發(fā)動進一步攻擊,,例如發(fā)送有針對性的網(wǎng)絡釣魚郵件,并使用姓名和出生日期偽裝成受害者通過某些簡單驗證等,。

  Robinhood公司還表示,,在發(fā)現(xiàn)問題并將系統(tǒng)保護起來之后,該黑客立即發(fā)出了“勒索贖金” 要求,。不過Robinhood選擇邀請取證與安全廠商Mandiant幫助其調(diào)查這次事件,。

  針對大型互聯(lián)網(wǎng)平臺的

  社會工程攻擊屢見不鮮

  2020年7月,知名社交平臺Twitter曾遭遇到類似的黑客攻擊事件,。

  一位才十幾歲的黑客使用社會工程技術,,誘使部分Twitter員工將其誤認為公司的一員,,因此允許其訪問到Twitter的內(nèi)部“管理”工具。利用這些工具,,他劫持了多個知名賬戶并大肆傳播加密貨幣欺詐廣告,。這次攻擊讓這名年輕的黑客獲得了超過10萬美元的加密貨幣收益。

  經(jīng)過此事,,Twitter開始向員工分發(fā)安全密鑰,希望加強抵御攻擊的能力,,防止未來再次發(fā)生類似攻擊,。

  作為本次調(diào)查的重點,Robinhood顯然需要弄清自己為什么缺乏安全控制手段,,導致黑客能輕松騙過客服代表,,拿到內(nèi)部系統(tǒng)的訪問權限。

  這是Robinhood公司迄今為止經(jīng)歷的最重大安全事件,。他們坦言此前也會偶有少量用戶賬戶遭到黑客入侵,,但這么嚴重的問題還是第一次遇到。

  之前Robinhood曝出的最大安全事故發(fā)生在2019年7月,,他們當時承認自己以明文形式存儲了部分用戶密碼,。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。