• 發布單位:TWCERT/CC
• 更新日期:2021-11-12
• 點閱次數:3290

美國的線上證券交易平台 Robinhood 日前公開一起資料外洩事件；該公司系統遭到駭侵攻擊，約有 700 萬名用戶的個資遭竊。

美國知名且用戶眾多的線上證券交易平台 Robinhood，日前發布資安通報，公開一起發生於 2021年 11 月月初的資料外洩事件；該公司系統遭到駭侵攻擊，約有 700 萬名用戶的個資遭竊。

攻擊事件發生在 2021 年 11 月 3 日，有一位 Robinhood 客戶服務部的員工，接到駭侵攻擊者的電話；該攻擊者以社交工程（social engineering）手法，取得 Robinhood 客服系統的存取權限。

駭侵者隨後利用取得的存取權限，取得大批 Robinhood 線上券商的用戶資料，資料欄位包括用戶全名、Email 地址等，有一部分用戶的出生年月日與郵遞區號等機敏資訊也同時遭竊。

據 Robinhood 發布的公告指出，詳細的資料遭竊與受害者數量情形如下：Email 外洩（500 萬人）、真實姓名（200 萬人）、姓名＋生日＋郵遞區號（300 人）、更多個資（10人）。

Robinhood 說，該公司目前正在針對整個資料外洩事件展開詳細調查工作，目前沒有跡象顯示包括用戶的社會安全號碼、銀行帳號、金融卡卡號等金融相關資料在這次事件中遭竊。

雖然這次外洩事件中流出的用戶資料種類有限，但資安專家指出，這些資料以足夠讓駭侵者據以發動各種進一步的資安攻擊，例如釣魚攻擊或社交工程攻擊等。

專家呼籲 Robinhood 用戶，近期應對各種形式的釣魚攻擊提高警覺，因為駭侵者可能會假冒 Robinhood 或其他機構發送釣魚信件，假稱用戶帳號出現問題，藉以騙取用戶輸入帳號登入資訊。