La piattaforma di trading Robinhood ha annunciato che più di sette milioni dei suoi clienti sono stati colpiti da una violazione dei dati. "Sulla base della nostra indagine, l'attacco è stato contenuto e riteniamo che non sia stato divulgato alcun numero di previdenza sociale, numero di conto bancario o numero di carta di debito e che non vi siano state perdite finanziarie per alcun cliente a seguito dell'incidente", ha rivelato Robinhood nella sua statement.proprio. La piattaforma, che ha acquisito notorietà durante la saga di GameStop, ha spiegato che l'attacco è stato orchestrato dal social engineering di un gestore dell'assistenza clienti isolato al telefono per ottenere l'accesso a determinati sistemi di assistenza clienti. Con questo accesso, l'aggressore è stato in grado di estrarre un elenco di indirizzi e-mail di circa cinque milioni di persone e i nomi completi di un gruppo separato di due milioni di persone.
Limita i danni
Un gruppo più piccolo di circa 310 utenti ha perso informazioni di identificazione personale (PII), inclusi i loro nomi, date di nascita e codici postali, mentre sono stati rivelati "dettagli dell'account più dettagliati" per altri dieci clienti. Robinhood afferma di essere stata in grado di contenere l'incidente e sta continuando a indagare sull'incidente con l'aiuto della società di sicurezza informatica Mandiant. Robinhood ha anche condiviso che gli aggressori si erano avvicinati a lui chiedendo un "pagamento per estorsione". Tuttavia, la piattaforma afferma di aver invece informato la polizia, sebbene non abbia menzionato esplicitamente di non aver contattato gli autori.
Collegamento più debole
Gli esperti di sicurezza informatica con cui TechRadar Pro ha parlato hanno affermato che l'incidente ha ricordato che gli esseri umani sono spesso l'anello più debole dell'ecosistema. “Per ridurre i rischi, le aziende devono implementare più livelli di controllo con restrizioni su chi può accedere ai dati critici. Ciò può rivelarsi difficile per le società di servizi finanziari i cui dipendenti lavorano in remoto da casa e i dati e i sistemi dei clienti sono sempre più distribuiti su infrastrutture on-premise, cloud e SaaS", ha affermato Ken Westin, direttore della strategia di sicurezza di Cybereason. Alicia Townsend, evangelista della tecnologia per OneLogin Identity Management Experts, concorda, aggiungendo: "Questo incidente evidenzia due punti importanti: educare i dipendenti sulle potenziali minacce alla sicurezza informatica, in particolare le minacce di ingegneria sociale, e limitare al minimo l'accesso alle informazioni dei clienti per i dipendenti in base al loro ruolo. "
Supera gli attacchi di ingegneria sociale
Tuttavia, Trevor Morgan, product manager presso comforte AG, uno specialista della sicurezza dei dati, afferma che la formazione non risolve il problema fondamentale che rende facili gli attacchi di ingegneria sociale come questo. Morgan afferma che la maggior parte dei dipendenti lavora in un ambiente di dati iper-accelerato, in cui qualsiasi ritardo nella fornitura o nella condivisione delle informazioni può bloccare i progressi. Crede che questa sia esattamente la vulnerabilità di cui fa leva l'ingegneria sociale. Per sradicare il problema, Morgan suggerisce alle aziende di creare una cultura organizzativa che valorizzi la privacy dei dati e incoraggi i dipendenti a rallentare e considerare tutte le ramificazioni prima di agire sulle richieste di informazioni sensibili. Inoltre, suggerisce ai responsabili IT di considerare la sicurezza incentrata sui dati come un modo per proteggere i dati sensibili stessi piuttosto che i perimetri intorno ai dati. “La tokenizzazione, ad esempio, non solo rende incomprensibili i dati sensibili, ma preserva anche il formato dei dati in modo che le applicazioni aziendali e gli utenti possano sempre lavorare con i dati in stati protetti. Se non controlli mai i dati, c'è una buona probabilità che, anche se cadono nelle mani sbagliate, le informazioni sensibili non vengano compromesse”, spiega Morgan.