La plateforme de trading Robinhood a annoncé que plus de sept millions de ses clients ont été touchés par une violation de données. "Sur la base de notre enquête, l'attaque a été contenue et nous pensons qu'aucun numéro de sécurité sociale, numéro de compte bancaire ou numéro de carte de débit n'a été divulgué et qu'il n'y a eu aucune perte financière pour les clients à la suite de l'incident", a révélé Robinhood dans son déclaration propre. La plate-forme, qui a acquis une notoriété lors de la saga GameStop, a expliqué que l'attaque avait été orchestrée par l'ingénierie sociale d'un responsable du support client isolé par téléphone pour accéder à certains systèmes de support client. Grâce à cet accès, l'attaquant a pu extraire une liste d'adresses e-mail d'environ cinq millions de personnes et les noms complets d'un groupe distinct de deux millions de personnes.
Limiter les dégâts
Un petit groupe d'environ 310 utilisateurs a perdu des informations personnellement identifiables (PII), y compris leurs noms, dates de naissance et codes postaux, tandis que des "détails de compte plus détaillés" pour dix autres clients ont été révélés. Robinhood dit avoir été en mesure de contenir l'incident et continue d'enquêter sur l'incident avec l'aide de la société de cybersécurité Mandiant. Robinhood a également partagé que les attaquants l'avaient approché pour demander un "paiement d'extorsion". Cependant, la plateforme affirme avoir plutôt informé la police, bien qu'elle n'ait pas explicitement mentionné qu'elle n'avait pas contacté les auteurs.
Maillon le plus faible
Les experts en cybersécurité auxquels TechRadar Pro s'est entretenu ont déclaré que l'incident rappelait que les humains sont souvent le maillon le plus faible de l'écosystème. « Pour réduire les risques, les entreprises doivent mettre en place plusieurs niveaux de contrôle avec des restrictions sur les personnes pouvant accéder aux données critiques. Cela peut s'avérer difficile pour les sociétés de services financiers dont les employés travaillent à distance depuis leur domicile et les données et systèmes des clients sont de plus en plus distribués sur les infrastructures sur site, cloud et SaaS », a déclaré Ken Westin, directeur de la stratégie de sécurité de Cybereason. Alicia Townsend, évangéliste de la technologie pour les experts en gestion d'identité OneLogin, est d'accord, ajoutant : « Cet incident met en évidence deux points importants : éduquer les employés sur les menaces potentielles de cybersécurité, en particulier les menaces d'ingénierie sociale, et limiter l'accès aux informations client au minimum pour les employés en fonction de leur rôle. . "
Surmonter les attaques d'ingénierie sociale
Cependant, Trevor Morgan, chef de produit chez comforte AG, spécialiste de la sécurité des données, affirme que la formation ne résout pas le problème fondamental qui rend les attaques d'ingénierie sociale comme celle-ci faciles. Morgan affirme que la plupart des employés travaillent dans un environnement de données hyper-accéléré, où tout retard dans la fourniture ou le partage d'informations peut bloquer les progrès. Il pense que c'est exactement la vulnérabilité dont s'attaque l'ingénierie sociale. Pour éradiquer le problème, Morgan suggère que les entreprises créent une culture organisationnelle qui valorise la confidentialité des données et encourage les employés à ralentir et à considérer toutes les ramifications avant d'agir sur les demandes d'informations sensibles. En outre, il suggère aux responsables informatiques de considérer la sécurité centrée sur les données comme un moyen de protéger les données sensibles elles-mêmes plutôt que les périmètres autour des données. « La tokenisation, par exemple, rend non seulement les données sensibles incompréhensibles, mais préserve également le format des données afin que les applications métier et les utilisateurs puissent toujours travailler avec des données dans des états protégés. Si vous ne consultez jamais les données, il y a de fortes chances que même si elles tombent entre de mauvaises mains, les informations sensibles ne soient pas compromises », explique Morgan.