Por que as vítimas do ciberataque à Robinhood devem se preocupar

Entre as 7 milhões de contas afetadas, cerca de 310 tiveram dados mais confidenciais expostos, como data de nascimento e código postal, bem como o nome completo do usuário

Por

Bloomberg — A Robinhood anunciou ontem (9) uma embaraçosa violação de segurança que expôs as informações pessoais de milhões de seus usuários, o que será de particular preocupação para os cerca de 300 clientes que sofreram o pior comprometimento da privacidade.

A maioria das sete milhões de contas afetadas teve apenas uma informação pessoal exposta: o nome do usuário ou seu endereço de e-mail. Mas em cerca de 310 casos, dados mais confidenciais, como data de nascimento e código postal, foram descobertos, bem como o nome completo do usuário. Cerca de 10 dessas pessoas tiveram “detalhes de contas mais abrangentes revelados”, disse Robinhood, acrescentando que a empresa está em processo de “fazer divulgações apropriadas” para esses usuários.

Nenhum número de seguridade social, conta bancária ou cartão de débito foram comprometidos e nenhum cliente sofreu perda financeira como resultado do incidente, disse a Robinhood. Ou ainda não.

O perigo é que as informações expostas possam ser usadas para facilitar outros ataques do tipo que revelam os dados dos usuários em primeiro lugar.

Atributos como aniversários e endereços físicos são difíceis de alterar e são comumente usados como verificações ao efetuar login em vários serviços. O lapso na segurança de dados do Robinhood veio por meio de um funcionário do suporte ao cliente, cuja cooperação foi usada para obter acesso aos sistemas de suporte interno.

Embora a Robinhood não tenha revelado quanto tempo levou para informar os usuários afetados sobre a invasão da semana passada, esse é o período em que o risco teria sido maior. Agora que eles estão cientes da violação, o melhor curso de ação para os clientes afetados é alterar todas as verificações de segurança que dependem de sua data de nascimento e usar boas práticas de segurança online, como autenticação de dois fatores e ceticismo em relação a e-mails de remetentes desconhecidos.

Veja mais: Pitch da Robinhood bate de frente com apetite de cliente por memes

A Robinhood disse que conteve a violação, notificou a aplicação da lei e convocou a empresa de segurança Mandiant para investigar o assunto. O diretor de tecnologia da Mandiant, Charles Carmakal, disse que a Robinhood “conduziu uma investigação completa para avaliar o impacto”.

Ainda assim, a máxima de “segurança em primeiro lugar” da empresa, frequentemente repetida por executivos, soará vazia para os milhões de usuários que agora estão um pouco mais vulneráveis a ataques de phishing e para o grupo menor que terá que ser extremamente vigilante porque escolheu usar a plataforma de trading.

Veja mais em Bloomberg.com