Robinhood, victime d’une violation de données

Robinhood fait encore parler de lui. Non, nous ne parlons pas du justicier de Sherwood, mais plutôt de la société américaine de services financiers du même nom. Cette fois-ci, il ne s’agit pas de critiques essuyées après avoir limité les transactions sur certaines valeurs, mais plutôt de vol de données. En effet, c’est dans un billet de blog que la plateforme d’échange d’actions en ligne a confirmé cela. La semaine dernière, elle a constaté le vol par un pirate, de cinq millions d’adresses électroniques et de deux millions de noms de clients.

Photographer: Tiffany Hagler-Geard/Bloomberg via Getty Images

Un représentant du service clientèle fautif

Avant de faire l’annonce officielle sur son blog, Robinhood a fait une enquête rapide pour comprendre ce qui s’est réellement passé. La plateforme a remarqué que pour s’intégrer dans son système, le pirate s’est servi d’un de ses employés, plus précisément un représentant du service clientèle.

Ce dernier fut victime d’une manipulation sociale par téléphone, de la part du pirate malveillant, le 3 novembre dernier. Ce qui a permis au cybercriminel d’accéder aux systèmes de support client. Les informations collectées par le pirate vont des adresses mail des clients aux noms complets en passant par les dates de naissance.  

Les codes postaux de 310 clients ont également été volés. Robinhood a également précisé que 10 de ses clients ont malheureusement eu « des détails de compte plus étendus révélés ». Sans préciser la nature de ces détails, la plateforme a toutefois tenu à rassurer qu’aucun numéro de sécurité, de compte bancaire ou de carte de crédit n’a été exposé.

Mieux, pour le moment aucune perte d’argent consécutive à l’attaque n’est à signaler jusqu’à maintenant. Si ces précisions sont rassurantes dans un sens, elles ne le sont pas totalement dans un autre.

Il faut remarquer que les informations volées sont souvent utilisées par les pirates pour commettre d’autres attaques. Il s’agit notamment des courriels de phishing ciblés qui sont plus efficaces lorsque le cybercriminel connait les noms et les dates de naissance des victimes potentielles.

Si le vol en lui-même est sans gravité pour les victimes, il peut indirectement engendrer des conséquences plus dramatiques.

Une attaque semblable à celle dont fut victime Twitter en 2020

Robinhood a depuis, réussi à augmenter la sécurité autour des informations personnelles de sa clientèle. Ce qui a empêché le pirate à aller plus loin. Celui-ci a exigé un « paiement d’extorsion » afin de rétrocéder les informations volées.

La plateforme a donné une suite non favorable à sa requête et a décidé d’informer les forces de l’ordre et la société de sécurité Mandiant. Ces deux entités vont enquêter sur la violation et apporter plus d’éclaircissements.

Il faut dire que ce n’est pas la première fois qu’une société de premier plan est victime de ce type d’attaque. En juillet 2020, un adolescent avait réussi à détourner plusieurs comptes connus de Twitter. Ce qui lui avait permis de mettre en place une escroquerie aux cryptomonnaies qui lui a rapporté la coquette somme de 100 000 dollars.

Pour y arriver, le pirate s’est servi de techniques d’ingénierie sociale. Il a réussi à faire croire à certains employés de Twitter qu’il était un des leurs. Ce qui lui a permis d’accéder tranquillement à un outil interne d’administration du géant du microbloging.

À la suite de l’attaque, Twitter a distribué des clés de sécurité spéciales à tous ses employés. Ceci afin d’éviter à l’avenir que ce type d’attaque ne se produise. Pour le moment, il reste des zones d’ombre concernant l’attaque subie par Robinhood.

Les enquêteurs vont certainement concentrer la faille qui a permis dans un premier temps au pirate de tromper le représentant du service de clientèle. Dans un second temps, ils détermineront ce qui lui a permis malgré tout d’accéder à un système interne de la firme.