Robinhood 用戶在查收、回復(fù) 貌似來自Robinhood的郵件時(shí)，需謹(jǐn)慎調(diào)查郵件來源、郵件內(nèi)容。

美國時(shí)間11月8日晚間，Robinhood，美國最受歡迎的股票交易和行情 App，突然披露了一起嚴(yán)重的數(shù)據(jù)安全事故。事故中，黑客非法獲取了大約一個(gè)大約500萬人的用戶組的電子郵件地址，以及另外一個(gè)大約200萬人用戶組的姓名。

除此之外，大約310名用戶的個(gè)人信息遭到泄露，包括姓名、生日、郵編等。這組用戶當(dāng)中，有10人屬于嚴(yán)重泄漏的情況，也即可能泄露了更多的信息，但 Robinhood 并未提及具體哪些泄露，只是表示正在通過合適的途徑聯(lián)系受影響的用戶。

除此之外，在事故中，沒有類似銀行卡號(hào)、SSN等敏感的財(cái)務(wù)相關(guān)數(shù)據(jù)遭到泄露。該公司宣稱，黑客在事發(fā)之后曾索要賞金，但該公司并沒有屈服。

首席安全官 Caleb Sima 表示，Robinhood “作為一家安全為先的公司，在徹查事故之后向全體用戶公開澄清事故的真相，是正確的事情?！?/p>

在此之前，該公司于2019、2020年多次遭遇到黑客攻擊，導(dǎo)致用戶信息泄露和用戶賬戶資金丟失，其中不乏因?yàn)閲?yán)重的系統(tǒng)安全設(shè)計(jì)缺陷（如明文存儲(chǔ)密碼）而導(dǎo)致的泄露。

事故詳情

很遺憾，無論一家公司有多注重安全，在系統(tǒng)安全方面投入了大量的金錢和先進(jìn)技術(shù)，這家公司仍然會(huì)存在一個(gè)可能被輕易攻破的方面。

這個(gè)方面，就是人。

在本次事故中，Robinhood 正是在員工安全意識(shí)方面出了問題。據(jù)該公司透露，在11月3日，黑客以社會(huì)工程學(xué)的手段，通過電話取得了一名客服人員的信任，成功獲得了客服系統(tǒng)的登錄權(quán)限，并最終導(dǎo)出了大約500萬名用戶的電子郵箱。

正如前述，本次安全事故中，存在幾個(gè)受波及程度不同的用戶組別。這些組別的波及人數(shù)和泄露情況分別如下：

500萬人：電子郵箱

200萬人：姓名

310人：包括姓名、生日、郵編等在內(nèi)的個(gè)人信息

10人：更加詳盡的賬戶信息

Robinhood 公司發(fā)現(xiàn)事故并展開了止損工作。隨后，黑客方面對(duì)該公司進(jìn)行了敲詐，企圖勒索一筆“贖金”。不過 Robinhood 并沒有向黑客妥協(xié)，而是已經(jīng)向相關(guān)執(zhí)法和金融監(jiān)管部門報(bào)案。

目前，該公司還在和一家具有美國軍方背景的私人網(wǎng)絡(luò)安全公司展開合作，展開事故調(diào)查。

由于主要泄露的信息是用戶的電子郵件，知名安全專家 Brian Krebs 指出，之后針對(duì) Robinhood 用戶的釣魚郵件可能會(huì)增加。因此，Robinhood 用戶在查收、回復(fù)貌似來自Robinhood的郵件時(shí)，需謹(jǐn)慎調(diào)查郵件來源、郵件內(nèi)容。

Robinhood 方面也宣稱，公司官方和用戶通訊的時(shí)候，永遠(yuǎn)不會(huì)用鏈接等方式試圖獲得用戶的登錄信息，也即呼吁用戶加強(qiáng)安全意識(shí)，收到仿冒者的類似通訊時(shí)不要讓其得逞。

數(shù)據(jù)安全問題纏身的 Robinhood

Robinhood 是目前美國最受歡迎的個(gè)人用戶股票行情和交易軟件之一。 其名字用意就是“劫富濟(jì)貧”，讓金融市場(chǎng)可以為普通人所用，而非僅限有錢人。

該公司的產(chǎn)品讓股票交易和行情信息的獲取門檻降低，讓普通人不需要自己的股票經(jīng)紀(jì)/投資顧問，就可以在手機(jī)上進(jìn)行投資和交易。除此之外， 近幾年 一些新創(chuàng)互聯(lián)網(wǎng)金融 公司試圖 顛覆美股 IPO 的打新傳統(tǒng)，讓散戶 也能夠進(jìn)場(chǎng)成為玩家，而 Robinhood 也是這批平臺(tái)當(dāng)中最受歡迎的一個(gè)。

今年，由網(wǎng)絡(luò)社區(qū) Wallstreetbets 的散戶投資者發(fā)起的軋空運(yùn)動(dòng)，成功逆轉(zhuǎn)了 GameStop、AMC和黑莓等多只垃圾股票的走勢(shì)，讓主流做空機(jī)構(gòu)和投行一度損失慘重。此事件中， 最早的協(xié)同交易行為就是在 Robinhood 上進(jìn)行的，引發(fā)了大量新用戶涌入注冊(cè)和投資。

不久后，包括 Robinhood 在內(nèi)的多個(gè)券商交易平臺(tái)直接“拔網(wǎng)線”，暫停了涉事股票的交易，也遭到了散戶投資者的集體訴訟。但不管怎樣，至少對(duì)于 Robinhood 來說，這一波營銷和拉新的效果是非常顯著的。

雖然 Robinhood 一直以美國金融科技創(chuàng)新的領(lǐng)導(dǎo)者形象自居，但這家公司過去在技術(shù)安全事故和運(yùn)營違規(guī)等方面，卻可以算是個(gè)“慣犯”了。

2019年 6月24 日 ， Robinhood 宣布了一筆高達(dá) 3.23億美元的 E 輪融資，當(dāng)時(shí)的估值增加了35%，達(dá)到76億美元。然而就在融資消息宣布的同一天，該公司的工程師意外地發(fā)現(xiàn)：一部分用戶的登陸密碼，竟然以明文方式存儲(chǔ)在系統(tǒng)里。

Robinhood 宣稱，在發(fā)現(xiàn)了情況之后已經(jīng)立刻進(jìn)行了修改處理，并且事后調(diào)查沒有發(fā)現(xiàn)這些信息被除了調(diào)查團(tuán)隊(duì)之外的任何人獲取的情況。

明文存儲(chǔ)用戶密碼這事兒聽起來挺蠢的，但其實(shí)很多知名大公司都這樣干過。僅在硅谷，光2018、19年，就已經(jīng)爆出過 Twitter、GitHub、Facebook、Instagram 和 Google 等公司，當(dāng)時(shí)都在用明文存儲(chǔ)密碼。

回到 Robinhood。當(dāng)時(shí)該公司宣稱此事沒有造成事實(shí)的用戶數(shù)據(jù)泄露——然而這可能不是真的。

去年，Robinhood 再次披露，大約2000名用戶的數(shù)據(jù)遭到“連續(xù)入侵”，并且黑客還洗走了賬戶內(nèi)的資金。

首先，黑客能夠登入用戶賬戶，就足夠說明用戶登錄信息（密碼，以及其他登錄驗(yàn)證方式）被破解了。 其次，該公司對(duì)這一次所謂“連續(xù)入侵”的解釋并不清晰。

以上情況不禁令人懷疑，Robinhood 是否低估了前一年密碼明文存儲(chǔ)事件的真正影響。

除此之外，Robinhood 過去還曾經(jīng)發(fā)生過多次運(yùn)營違規(guī)事件：

1）回扣事件：2018年，該公司被發(fā)現(xiàn)收入嚴(yán)重依賴交易所/做市商回扣，并且未能兌現(xiàn)給用戶最優(yōu)惠價(jià)格的承諾，因此遭到美國金融機(jī)構(gòu)監(jiān)管局125萬美元的罰款。

此事件的背景，是近年券商平臺(tái)瘋狂內(nèi)卷，集體轉(zhuǎn)型“零傭金”模式，損失了一大部分收入，所以像 Robinhood 這樣的平臺(tái)開始轉(zhuǎn)型“賣流量”，也即靠給交易所/做市商發(fā)單賺回扣。

2）無限杠桿事件：2019年，有用戶發(fā)現(xiàn) Robinhood 軟件存在漏洞，訂閱用戶可以進(jìn)行“無限循環(huán)”的保證金加杠桿交易操作，只花4000美元保證金就買了大約100萬美元的股票，高達(dá)250倍杠桿。 后來，Robinhood 很快就封閉了這個(gè)所謂的漏洞。

3）用戶隱瞞事件：2020年，Robinhood 涉嫌向高頻交易公司轉(zhuǎn)移用戶訂單，并且在過程中未向用戶澄清，因此遭到了美國證券交易委員會(huì)的調(diào)查。Robinhood 最終支付了6500萬美元的罰款。

4）GameStop 軋空運(yùn)動(dòng)：前面提到在 GME 等“垃圾”股票價(jià)格暴漲之后，Robinhood很快強(qiáng)行關(guān)閉了對(duì)這些股票的交易功能，遭到了用戶的強(qiáng)烈反對(duì)和游行示威，甚至連美國國會(huì)都傳召該公司 CEO Vlad Tenev 出席聽證會(huì)解釋其所作所為。 知名美國民主黨進(jìn)步派議員 Alexandria Ocasio-Cortez 譴責(zé) Robinhood 的行為，“Robinhood 的決定讓散戶投資者無法購買股票，但與此同時(shí)對(duì)沖基金卻能夠毫無限制地進(jìn)行交易。 ”

總之，這次信息泄露事件再次給Robinhood敲響了信息安全問題的警鐘。

本文來自微信公眾號(hào)“硅星人”（ID：guixingren123），作者：光譜杜晨，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 賬戶 郵件 用戶