Platforma handlowa Robinhood ogłosiła, że naruszenie bezpieczeństwa danych dotknęło ponad siedem milionów jej klientów. „Na podstawie naszego dochodzenia wynika, że atak został powstrzymany i uważamy, że nie ujawniono żadnego numeru ubezpieczenia społecznego, numeru konta bankowego ani numeru karty debetowej oraz że w wyniku incydentu nie ponieśli żadnych strat finansowych dla klientów” – ujawnił Robinhood w swoim raporcie. własny. Platforma, która zyskała rozgłos podczas sagi GameStop, wyjaśniła, że atak został zorganizowany w drodze inżynierii społecznej przez izolowanego menedżera obsługi klienta przez telefon w celu uzyskania dostępu do niektórych systemów obsługi klienta. Dzięki temu dostępowi atakujący mógł wyodrębnić listę adresów e-mail około pięciu milionów osób oraz pełne imiona i nazwiska oddzielnej grupy składającej się z dwóch milionów osób.
Ogranicz szkody
Mniejsza grupa, licząca około 310 użytkowników, utraciła dane osobowe, w tym imiona i nazwiska, daty urodzenia i kody pocztowe, natomiast w przypadku kolejnych dziesięciu klientów ujawniono „bardziej szczegółowe dane konta”. Robinhood twierdzi, że był w stanie powstrzymać incydent i kontynuuje dochodzenie w sprawie incydentu z pomocą firmy Mandiant zajmującej się bezpieczeństwem cybernetycznym. Robinhood powiedział również, że napastnicy zwrócili się do niego, prosząc o „wymuszenie zapłaty”. Platforma twierdzi jednak, że zamiast tego powiadomiła policję, choć nie wspomniała wprost, że nie kontaktowała się ze sprawcami.
najsłabsze ogniwo
Eksperci ds. cyberbezpieczeństwa, z którymi rozmawiała firma LaComparacion Pro, stwierdzili, że incydent przypomniał, że ludzie są często najsłabszym ogniwem ekosystemu. „Aby zmniejszyć ryzyko, firmy powinny wdrożyć wiele poziomów kontroli z ograniczeniami dotyczącymi tego, kto może uzyskać dostęp do krytycznych danych. „Może to być trudne dla firm świadczących usługi finansowe, których pracownicy pracują zdalnie z domu, a dane i systemy klientów są w coraz większym stopniu rozproszone w infrastrukturze lokalnej, w chmurze i SaaS” – powiedział Ken Westin, dyrektor ds. strategii bezpieczeństwa Cybereason. Alicia Townsend, ewangelistka technologii w firmie ekspertów ds. zarządzania tożsamością OneLogin, zgadza się z tym, dodając, że „ten incydent uwypukla dwie ważne kwestie: edukowanie pracowników na temat potencjalnych zagrożeń dla cyberbezpieczeństwa, zwłaszcza zagrożeń związanych z inżynierią społeczną, oraz ograniczanie dostępu do informacji”. na ich rolę. "
Pokonaj ataki socjotechniczne
Jednak Trevor Morgan, menedżer produktu w firmie Comforte AG, specjalista ds. bezpieczeństwa danych, twierdzi, że szkolenie nie rozwiązuje podstawowego problemu, który ułatwia tego typu ataki socjotechniczne. Morgan twierdzi, że większość pracowników pracuje w niezwykle przyspieszonym środowisku danych, w którym wszelkie opóźnienia w dostarczaniu lub udostępnianiu informacji mogą zatrzymać postęp. Uważa on, że właśnie na tej słabości żeruje socjotechnika. Aby wyeliminować ten problem, Morgan sugeruje, aby firmy stworzyły kulturę organizacyjną, która ceni prywatność danych i zachęca pracowników, aby zwolnili tempo i rozważyli wszystkie konsekwencje, zanim podejmą działania w odpowiedzi na prośby o udostępnienie poufnych informacji. Ponadto sugeruje, że menedżerowie IT traktują bezpieczeństwo skoncentrowane na danych jako sposób ochrony samych danych wrażliwych, a nie obwodu wokół nich. „Na przykład tokenizacja nie tylko sprawia, że wrażliwe dane stają się niezrozumiałe, ale także zachowuje format danych, dzięki czemu aplikacje biznesowe i użytkownicy mogą zawsze pracować z danymi w stanach chronionych. Jeśli nigdy nie sprawdzisz danych, istnieje duża szansa, że nawet jeśli wpadną one w niepowołane ręce, poufne informacje nie zostaną naruszone” – wyjaśnia Morgan.