Bloomberg — A Robinhood anunciou ontem (9) uma embaraçosa violação de segurança que expôs as informações pessoais de milhões de seus usuários, o que será de particular preocupação para os cerca de 300 clientes que sofreram o pior comprometimento da privacidade.
A maioria das sete milhões de contas afetadas teve apenas uma informação pessoal exposta: o nome do usuário ou seu endereço de e-mail. Mas em cerca de 310 casos, dados mais confidenciais, como data de nascimento e código postal, foram descobertos, bem como o nome completo do usuário. Cerca de 10 dessas pessoas tiveram “detalhes de contas mais abrangentes revelados”, disse Robinhood, acrescentando que a empresa está em processo de “fazer divulgações apropriadas” para esses usuários.
Nenhum número de seguridade social, conta bancária ou cartão de débito foram comprometidos e nenhum cliente sofreu perda financeira como resultado do incidente, disse a Robinhood. Ou ainda não.
O perigo é que as informações expostas possam ser usadas para facilitar outros ataques do tipo que revelam os dados dos usuários em primeiro lugar.
Atributos como aniversários e endereços físicos são difíceis de alterar e são comumente usados como verificações ao efetuar login em vários serviços. O lapso na segurança de dados do Robinhood veio por meio de um funcionário do suporte ao cliente, cuja cooperação foi usada para obter acesso aos sistemas de suporte interno.
Embora a Robinhood não tenha revelado quanto tempo levou para informar os usuários afetados sobre a invasão da semana passada, esse é o período em que o risco teria sido maior. Agora que eles estão cientes da violação, o melhor curso de ação para os clientes afetados é alterar todas as verificações de segurança que dependem de sua data de nascimento e usar boas práticas de segurança online, como autenticação de dois fatores e ceticismo em relação a e-mails de remetentes desconhecidos.
Veja mais: Pitch da Robinhood bate de frente com apetite de cliente por memes
A Robinhood disse que conteve a violação, notificou a aplicação da lei e convocou a empresa de segurança Mandiant para investigar o assunto. O diretor de tecnologia da Mandiant, Charles Carmakal, disse que a Robinhood “conduziu uma investigação completa para avaliar o impacto”.
Ainda assim, a máxima de “segurança em primeiro lugar” da empresa, frequentemente repetida por executivos, soará vazia para os milhões de usuários que agora estão um pouco mais vulneráveis a ataques de phishing e para o grupo menor que terá que ser extremamente vigilante porque escolheu usar a plataforma de trading.
Veja mais em Bloomberg.com