Robinhood, bilgisayar korsanları tarafından elde edilen bir listedeki “birkaç bin girişin” telefon numaralarını içerdiğini ortaya çıkardı ve bu, 3 Kasım’daki bir güvenlik ihlalinin şirketin başlangıçta bildirdiğinden daha fazla bilgiyi tehlikeye attığını gösteriyor. Daha doğrusu liste, listeyi bir “bilgisayar korsanları için proxy”den aldığı bildirilen Anakart’a göre yaklaşık 4.400 telefon numarası içeriyor.
Bu ayın başlarında Robinhood, bir sosyal mühendislik saldırısının kurbanı olan bir çalışanın bilgisayar korsanlarının 5 milyon müşterinin e-postasını ve 2 milyon müşterinin adını ele geçirmesine yol açtığını bildirdi. Ek olarak, yaklaşık 300 müşteride posta kodları ve doğum tarihleri gibi daha fazla ayrıntı çalınırken, 10 müşteri “daha kapsamlı hesap ayrıntıları ortaya çıktı”. Şirketin orijinal gönderisinde telefon numaralarından bahsedilmedi.
Robinhood, SSN’lerin veya banka hesap numaralarının çalındığını düşünmediğini yineledi
Robinhood, Anakart’a Sosyal Güvenlik, banka hesabı ve banka kartı numaraları gibi bilgilerin gizliliğinin ihlal edilmediğine inandığını, ancak bunun aynı zamanda bilgisayar korsanlarının elde ettiği listelerden birindeki “diğer metin girişlerini” analiz etmek. Şirket ayrıca bu bilgiyi olayla ilgili orijinal blog gönderisinin bir güncellemesinde yayınladı ve “etkilenen kişilere uygun açıklamaları yapmaya devam edeceğini” söyledi.
Bu, verilen ilk yeni bilgi parçası değil. şirket ilk başta saldırıya uğradığını ortaya çıkardığından beri ortaya çıktı. Bilgisayar korsanlarının yaklaşık 10 hesap için eriştiği araçları ve ekstra bilgileri gösteren ekran görüntüleri de, yayının bilgisayar korsanlarına bağlı bir kaynak tarafından sağlandığını söylemesinin ardından geçen hafta Anakart tarafından yayınlandı.
Anaboard’un belirttiği gibi. , Robinhood kullanıcılarının telefon numaralarına erişim, kullanıcıları SIM değiştirmeye veya bilgisayar korsanlarının veya numaraları sattıkları herhangi birinin hedefli kimlik avı saldırılarına karşı savunmasız hale getirebilir. Ayrıca Robinhood’un bu bilgiyi saldırıyı ilk açıklamasından bir hafta sonrasına kadar açıklamamış olması da endişe verici. Şirketin telefon numaralarının alındığından haberdar olmaması mümkün olsa da, bu özellikle güven verici bir açıklama değil.
