Robinhood, nota piattaforma di trading quotata in borsa dall'estate scorsa, ha confermato di essere stata vittima in un attacco che ha determinato la diffusione non autorizzata dei dati personali di milioni di utenti. Il fatto risale al 3 novembre e la buona notizia è che dalle prime indagini risulta che, nella maggior parte dei casi, non sono state divulgate informazioni dati particolarmente sensibili, come i numeri di previdenza sociale, dei conti bancari e delle carte di debito. I gestori della piattaforma confermano inoltre che nessun cliente ha riportato una perdita finanziaria a seguito dell'evento. Le indagini sono ancora in corso e gli utenti coinvolti saranno contattati direttamente dai gestori di Robinhood.

Il bottino della sottrazione di dati per il momento consiste in:

• elenco degli indirizzi e-mail di circa 5 milioni di persone
• nomi completi di 2 milioni di persone
• informazioni personali (compreso il nome, la data di nascita, il codice postale) di 310 persone
• informazioni personali ancora più estese di 10 utenti

Secondo la prima ricostruzione dei fatti, soggetti non ancora identificati sono riusciti ad accedere ai sistemi informatici dedicati all'assistenza clienti della piattaforma, ricorrendo a tecniche di social engineering - nello specifico, contattando un dipendente e fingendo di essere un soggetto autorizzato alla gestione dei sistemi per ottenere le credenziali di accesso. Un errore umano, quindi, determinato dall'artificio dei malintenzionati.

Dopo la diffusione non autorizzata dei dati, Robinhood ha ricevuto una richiesta di riscatto, di cui non si conosce l'esatto ammontare. Contestualmente i gestori hanno informato le forze dell'ordine e diramato un comunicato in cui si legge, tra l'altro:

Come azienda Safety First, siamo tenuti ad essere trasparenti nei confronti dei nostri clienti e ad agire con integrità. Dopo un'attenta analisi, la cosa giusta da fare ora è informare di questo incidente l'intera community di Robinhood