1、Robinhood遭受网络攻击

美国时间11月8日晚间，Robinhood，美国最受欢迎的股票交易和行情 App，突然披露了一起严重的数据安全事故。事故中，黑客非法获取了大约一个大约500万人的用户组的电子邮件地址，以及另外一个大约200万人用户组的姓名。

除此之外，大约310名用户的个人信息遭到泄露，包括姓名、生日、邮编等。这组用户当中，有10人属于严重泄漏的情况，也即可能泄露了更多的信息，但 Robinhood 并未提及具体哪些泄露，只是表示正在通过合适的途径联系受影响的用户。

该公司在官方博客中披露，某恶意黑客于11月3日通过电话对一名客服代表展开社会工程攻击，成功访问到客户支持系统，并获得了上述客户姓名、电子邮件地址以及310位客户的具体身份数据（包括全名、出生日期及邮政编码）。

Robinhood公司表示，还有10位客户的“更多账户细节信息遭到外泄”，但并没有具体做出解释。不过他们强调泄露内容不涉及社保号码、银行账户或者借记卡号，也没有给客户造成直接经济损失。

但恶意黑客完全可以利用这些信息对受害者发动进一步攻击，例如发送有针对性的网络钓鱼邮件，并使用姓名和出生日期伪装成受害者通过某些简单验证等。

Robinhood公司还表示，在发现问题并将系统保护起来之后，该黑客立即发出了“勒索赎金” 要求。不过Robinhood并没有屈服，而是选择邀请取证与安全厂商Mandiant帮助其调查这次事件。

首席安全官 Caleb Sima 表示，Robinhood “作为一家安全为先的公司，在彻查事故之后向全体用户公开澄清事故的真相，是正确的事情。”

在此之前，该公司于2019、2020年多次遭遇到黑客攻击，导致用户信息泄露和用户账户资金丢失，其中不乏因为严重的系统安全设计缺陷（如明文存储密码）而导致的泄露。

2、Twitter曾遭遇到类似的黑客攻击事件

针对大型互联网平台的社会工程攻击屡见不鲜，去年7月推特也遭遇类似事件，数十个超级政商名流的账号遭到劫持，发布比特币诈骗信息。

2020年7月，知名社交平台Twitter曾遭遇到类似的黑客攻击事件。

一位才十几岁的黑客使用社会工程技术，诱使部分Twitter员工将其误认为公司的一员，因此允许其访问到Twitter的内部“管理”工具。利用这些工具，他劫持了多个知名账户并大肆传播加密货币欺诈广告。这次攻击让这名年轻的黑客获得了超过10万美元的加密货币收益。

经过此事，Twitter开始向员工分发安全密钥，希望加强抵御攻击的能力，防止未来再次发生类似攻击。

3、安全事件反思

作为本次调查的重点，Robinhood显然需要弄清自己为什么缺乏安全控制手段，导致黑客能轻松骗过客服代表，拿到内部系统的访问权限。

这是Robinhood公司迄今为止经历的最重大安全事件。他们坦言此前也会偶有少量用户账户遭到黑客入侵，但这么严重的问题还是第一次遇到。

之前Robinhood曝出的最大安全事故发生在2019年7月，他们当时承认自己以明文形式存储了部分用户密码。

由于本次事故，主要泄露的信息是用户的电子邮件，网安信安全团队提醒大家，针对用户的钓鱼邮件黑客的一种惯用手段，因此，我们在查收、回复貌似来自各大平台的邮件时，需谨慎调查邮件来源、邮件内容。尤其是收到类似使用链接等方式试图获得你的登录信息的邮件，必须留一个心眼，这也许是仿冒者的通讯，一定不要让其得逞。