攻擊者通過電話對(duì)Robinhood的客服代表展開社會(huì)工程攻擊，成功訪問到客戶支持系統(tǒng)，并竊取了大量用戶資料；

　　針對(duì)大型互聯(lián)網(wǎng)平臺(tái)的社會(huì)工程攻擊屢見不鮮，去年7月推特也遭遇類似事件，數(shù)十個(gè)超級(jí)政商名流的賬號(hào)遭到劫持，發(fā)布比特幣詐騙信息；

　　這是Robinhood公司迄今為止經(jīng)歷的最重大安全事件。

　　美國知名互聯(lián)網(wǎng)股票交易平臺(tái)Robinhood已經(jīng)證實(shí)，在上周遭到黑客攻擊，有超過500萬個(gè)客戶電子郵件地址、200萬個(gè)客戶姓名以及一小批更為具體的客戶身份數(shù)據(jù)被惡意人士掌握。

　　該公司在官方博客中披露，某惡意黑客于11月3日通過電話對(duì)一名客服代表展開社會(huì)工程攻擊，成功訪問到客戶支持系統(tǒng)，并獲得了上述客戶姓名、電子郵件地址以及310位客戶的具體身份數(shù)據(jù)（包括全名、出生日期及郵政編碼）。

　　Robinhood公司表示，還有10位客戶的“更多賬戶細(xì)節(jié)信息遭到外泄”，但并沒有具體做出解釋。不過他們強(qiáng)調(diào)泄露內(nèi)容不涉及社保號(hào)碼、銀行賬戶或者借記卡號(hào)，也沒有給客戶造成直接經(jīng)濟(jì)損失。

　　但惡意黑客完全可以利用這些信息對(duì)受害者發(fā)動(dòng)進(jìn)一步攻擊，例如發(fā)送有針對(duì)性的網(wǎng)絡(luò)釣魚郵件，并使用姓名和出生日期偽裝成受害者通過某些簡單驗(yàn)證等。

　　Robinhood公司還表示，在發(fā)現(xiàn)問題并將系統(tǒng)保護(hù)起來之后，該黑客立即發(fā)出了“勒索贖金” 要求。不過Robinhood選擇邀請(qǐng)取證與安全廠商Mandiant幫助其調(diào)查這次事件。

　　針對(duì)大型互聯(lián)網(wǎng)平臺(tái)的

　　社會(huì)工程攻擊屢見不鮮

　　2020年7月，知名社交平臺(tái)Twitter曾遭遇到類似的黑客攻擊事件。

　　一位才十幾歲的黑客使用社會(huì)工程技術(shù)，誘使部分Twitter員工將其誤認(rèn)為公司的一員，因此允許其訪問到Twitter的內(nèi)部“管理”工具。利用這些工具，他劫持了多個(gè)知名賬戶并大肆傳播加密貨幣欺詐廣告。這次攻擊讓這名年輕的黑客獲得了超過10萬美元的加密貨幣收益。

　　經(jīng)過此事，Twitter開始向員工分發(fā)安全密鑰，希望加強(qiáng)抵御攻擊的能力，防止未來再次發(fā)生類似攻擊。

　　作為本次調(diào)查的重點(diǎn)，Robinhood顯然需要弄清自己為什么缺乏安全控制手段，導(dǎo)致黑客能輕松騙過客服代表，拿到內(nèi)部系統(tǒng)的訪問權(quán)限。

　　這是Robinhood公司迄今為止經(jīng)歷的最重大安全事件。他們坦言此前也會(huì)偶有少量用戶賬戶遭到黑客入侵，但這么嚴(yán)重的問題還是第一次遇到。

　　之前Robinhood曝出的最大安全事故發(fā)生在2019年7月，他們當(dāng)時(shí)承認(rèn)自己以明文形式存儲(chǔ)了部分用戶密碼。