Robinhood reveló este lunes una violación de seguridad que afectó a aproximadamente 7 millones de clientes, aproximadamente un tercio de su base de usuarios, que resultó en el acceso no autorizado a información personal por parte de un actor de amenazas no identificado.
La plataforma de inversión y comercio de acciones sin comisiones dijo que el incidente ocurrió «a última hora de la noche del 3 de noviembre», y agregó que está en proceso de notificar a los usuarios afectados.
«Según nuestra investigación, el ataque ha sido contenido y creemos que no se expusieron números de Seguro Social, números de cuentas bancarias o números de tarjetas de débito y que no ha habido pérdidas financieras para ningún cliente como resultado del incidente», dijo la compañía financiera de Silicon Valey.
Se cree que la tercera parte maliciosa diseñó socialmente a un representante de servicio al cliente para obtener acceso a los sistemas de soporte internos, usándolo para obtener las direcciones de correo electrónico de cinco millones de usuarios, los nombres completos de un grupo diferente de aproximadamente dos millones de personas e información adicional como nombres, fechas de nacimiento y códigos postales para un conjunto limitado de 310 usuarios más.
De estos últimos, al menos 10 clientes revelaron sus «detalles extensos de cuenta». Sin embargo, la compañía no proporcionó más detalles sobre cuáles eran esos detalles extensos.
Pero una vez que se controló la violación, Robinhood dijo que el infiltrado exigió un pago de extorsión a cambio de los datos robados, lo que llevó a la empresa a involucrar a las autoridades policiales en el asunto. No está claro inmediatamente si se cumplieron las demandas de rescate y de ser así, cuánto dinero se involucró.
La lista de direcciones de correo electrónico también incluye cuentas que se han desactivado previamente. Según los términos de Robinhood, esto se hace «porque las regulaciones nos obligan a preservar ciertos libros y registros».
«Nos tomamos muy en serio la seguridad de todos los datos recopilados y no pretendemos utilizar estos datos para nada más allá del cumplimiento de nuestros requisitos reglamentarios», dice la compañía en su página de soporte.
A raíz de la violación de datos, Robinhood recomienda a los usuarios que visiten el Centro de Ayuda > Mi cuenta e inicio de sesión > Seguridad de la cuenta, para proteger sus