Ngày 8/11, công ty dịch vụ tài chính Robinhood của Mỹ cảnh báo tin tặc đã xâm nhập ứng dụng giao dịch chứng khoán nổi tiếng của công ty, đánh cắp hàng triệu địa chỉ thư điện tử (email) của người dùng và nhiều thông tin chi tiết khác.
Thông báo của Robinhood nêu rõ vụ việc xảy ra vào ngày 3/11 vừa qua. Thủ phạm đã liên lạc với bộ phận khách hàng, giả mạo là một bên được ủy quyền và yêu cầu nhân viên công ty cung cấp quyền truy cập vào hệ thống máy tính hỗ trợ khách hàng. Tin tặc đã đánh cắp khoảng 5 triệu địa chỉ email của người dùng và "cuỗm" thông tin về danh tính của 2 triệu khách hàng ở mảng dịch vụ đầu tư.
Tuy nhiên, vụ tấn công đã tồi tệ hơn suy nghĩ ban đầu. Ngày 16/11, công ty thông báo rằng kẻ tấn công cũng đã đánh cắp số điện thoại của hàng nghìn người dùng. Robinhood đã xác nhận thông tin này sau khi Motherboard có được một tập tin gồm khoảng 4.400 số điện thoại bị đánh cắp từ một đại diện của nhóm tin tặc. Robinhood không xác nhận chính xác số lượng người dùng bị ảnh hưởng, nhưng công ty cho biết vẫn đang kiểm tra dữ liệu mà những kẻ tấn công đã đánh cắp.
Việc mất số điện thoại có nguy cơ khiến người dùng của Robinhood bị ảnh hưởng bởi cuộc tấn công hoán đổi SIM. Điều này xảy ra khi tin tặc cố gắng lừa nhà cung cấp dịch vụ di động chuyển giao quyền truy cập vào số điện thoại di động của người dùng. Nếu nhà cung cấp dịch vụ không chấp nhận thì chúng sẽ chuyển số điện thoại của người dùng sang thẻ SIM mới và sau đó cắm vào thiết bị của chúng.
Tấn công hoán đổi SIM có thể gây hậu quả nghiêm trọng vì số điện thoại di động thường được sử dụng để nhận mã đăng nhập một lần khi đăng nhập hoặc đặt lại mật khẩu cho tài khoản trực tuyến. Bản thân công ty Robinhood cũng cung cấp xác thực hai yếu tố qua tin nhắn SMS.
Robinhood cho biết họ sẽ thông báo cho tất cả những người dùng bị ảnh hưởng bởi vụ lộ lọt số điện thoại trong sự cố trên. Để tự bảo vệ mình, người dùng được khuyến nghị tránh sử dụng hệ thống xác thực hai yếu tố dựa trên SMS, mà thay vào đó sử dụng ứng dụng xác thực trên điện thoại để cung cấp mật mã một lần.
Đại diện của Robinhood cho biết: "Chúng tôi tin rằng danh sách không chứa số an sinh xã hội, tài khoản ngân hàng hoặc số thẻ ghi nợ và cũng không có bất kỳ thiệt hại tài chính nào đối với khách hàng do sự cố này"./.