L’attaque contre Robinhood est plus grave que prévu

Le 9 novembre dernier, nous avons publié un article faisant état d’une violation de données dont aurait été victime Robinhood. À l’époque, la société avait assuré que les pirates n’avaient réussi qu’à voler les adresses électroniques et les noms complets de certains de ses clients. Toutefois, avec les informations sorties ces deux derniers jours, tout semble indiquer que la société ne maitrise pas vraiment l’ampleur des dégâts.

Crédits – Tiffany Hagler-Geard/Bloomberg via Getty Images

Des milliers de numéros de téléphone volés

Nous en savons un peu plus sur la nature de la violation de données dont fut victime Robinhood. En dehors des adresses électroniques et noms dérobés, les cybercriminels ont également réussi à voler des milliers de numéros de téléphone.

L’information sortie depuis hier par Motherboard, a été relayée ce jour par The Verge. Il faut déjà souligner que Motherboard est une filiale du média Vice. Elle se spécialise dans différentes informations ayant rapport avec l’univers de la technologie.

Motherboard a pu obtenir une copie des numéros dérobés grâce à une source qui se dit être un mandataire des pirates. Avec le fichier reçu, le média s’est par la suite rapproché de Robinhood pour s’assurer de la véracité de l’information communiquée par sa source.

Dans un communiqué envoyé Motherboard, Robinhood a certifié que plusieurs entrées figurant sur le fichier correspondaient réellement à des numéros de téléphone de ses clients. Le plus inquiétant reste les autres entrées de texte que Robinhood continue d’analyser selon les propos rapportés par Motherboard.

Robinhood dit continuer à espérer que les pirates n’ont pu dérober aucun numéro de sécurité sociale ou de compte bancaire. La plateforme a également ajouté qu’elle informe régulièrement ses clients dont les données ont été usurpées frauduleusement. Elle compte par ailleurs mettre à jour prochainement son propre blog afin de communiquer à propos des numéros de téléphone volés.

Selon les chiffres avancés par la filiale de Vice, le fameux fichier transmis contiendrait environ 4400 numéros de téléphone. Un chiffre qui pourrait être plus important puisque rien ne prouve que les pirates aient transmis à Motherboard tout ce qu’ils ont pu collecter.

Les utilisateurs concernés peuvent s’inquiéter

Certes, les adresses électroniques et les noms complets limitent la capacité de nuisance des pirates. Les numéros de téléphone par contre, il s’agit d’une autre paire de manche. Ils sont très précieux pour les cybercriminels.

Ils sont beaucoup utilisés par différents services pour les authentifications par SMS. Si un pirate arrive à prendre le contrôle d’un numéro de téléphone alors il n’aura aucun mal à rediriger les codes de vérification.

À défaut de cela, les pirates peuvent se servir de différentes techniques de phishing pour obtenir directement de la victime, les fameux codes de vérification. Il apparaît un peu plus clairement que les clients de Robinhood qui sont les premières victimes de l’attaque ne sont plus en sécurité. Ceci, malgré les efforts déployés par la société américaine pour rassurer tout le monde.

Celui-ci a d’ailleurs nié le fait que les pirates aient pu modifier les comptes de ses clients. L’information avait été déjà relayée par Motherboard qui disait que les responsables de l’attaque ont pu, par l’intermédiaire d’un outil de Robinhood, supprimer les dispositifs de sécurité de certains comptes clients.