Robinhood 用戶在查收、回復(fù) 貌似來自Robinhood的郵件時，需謹(jǐn)慎調(diào)查郵件來源、郵件內(nèi)容。

美國時間11月8日晚間，Robinhood，美國最受歡迎的股票交易和行情 App，突然披露了一起嚴(yán)重的數(shù)據(jù)安全事故。事故中，黑客非法獲取了大約一個大約500萬人的用戶組的電子郵件地址，以及另外一個大約200萬人用戶組的姓名。

除此之外，大約310名用戶的個人信息遭到泄露，包括姓名、生日、郵編等。這組用戶當(dāng)中，有10人屬于嚴(yán)重泄漏的情況，也即可能泄露了更多的信息，但 Robinhood 并未提及具體哪些泄露，只是表示正在通過合適的途徑聯(lián)系受影響的用戶。

除此之外，在事故中，沒有類似銀行卡號、SSN等敏感的財務(wù)相關(guān)數(shù)據(jù)遭到泄露。該公司宣稱，黑客在事發(fā)之后曾索要賞金，但該公司并沒有屈服。

首席安全官 Caleb Sima 表示，Robinhood “作為一家安全為先的公司，在徹查事故之后向全體用戶公開澄清事故的真相，是正確的事情?！?/p>

在此之前，該公司于2019、2020年多次遭遇到黑客攻擊，導(dǎo)致用戶信息泄露和用戶賬戶資金丟失，其中不乏因為嚴(yán)重的系統(tǒng)安全設(shè)計缺陷（如明文存儲密碼）而導(dǎo)致的泄露。

事故詳情

很遺憾，無論一家公司有多注重安全，在系統(tǒng)安全方面投入了大量的金錢和先進技術(shù)，這家公司仍然會存在一個可能被輕易攻破的方面。

這個方面，就是人。

在本次事故中，Robinhood 正是在員工安全意識方面出了問題。據(jù)該公司透露，在11月3日，黑客以社會工程學(xué)的手段，通過電話取得了一名客服人員的信任，成功獲得了客服系統(tǒng)的登錄權(quán)限，并最終導(dǎo)出了大約500萬名用戶的電子郵箱。

正如前述，本次安全事故中，存在幾個受波及程度不同的用戶組別。這些組別的波及人數(shù)和泄露情況分別如下：

500萬人：電子郵箱

200萬人：姓名

310人：包括姓名、生日、郵編等在內(nèi)的個人信息

10人：更加詳盡的賬戶信息

Robinhood 公司發(fā)現(xiàn)事故并展開了止損工作。隨后，黑客方面對該公司進行了敲詐，企圖勒索一筆“贖金”。不過 Robinhood 并沒有向黑客妥協(xié)，而是已經(jīng)向相關(guān)執(zhí)法和金融監(jiān)管部門報案。

目前，該公司還在和一家具有美國軍方背景的私人網(wǎng)絡(luò)安全公司展開合作，展開事故調(diào)查。

由于主要泄露的信息是用戶的電子郵件，知名安全專家 Brian Krebs 指出，之后針對 Robinhood 用戶的釣魚郵件可能會增加。因此，Robinhood 用戶在查收、回復(fù)貌似來自Robinhood的郵件時，需謹(jǐn)慎調(diào)查郵件來源、郵件內(nèi)容。

Robinhood 方面也宣稱，公司官方和用戶通訊的時候，永遠(yuǎn)不會用鏈接等方式試圖獲得用戶的登錄信息，也即呼吁用戶加強安全意識，收到仿冒者的類似通訊時不要讓其得逞。

數(shù)據(jù)安全問題纏身的 Robinhood

Robinhood 是目前美國最受歡迎的個人用戶股票行情和交易軟件之一。 其名字用意就是“劫富濟貧”，讓金融市場可以為普通人所用，而非僅限有錢人。

該公司的產(chǎn)品讓股票交易和行情信息的獲取門檻降低，讓普通人不需要自己的股票經(jīng)紀(jì)/投資顧問，就可以在手機上進行投資和交易。除此之外， 近幾年 一些新創(chuàng)互聯(lián)網(wǎng)金融 公司試圖 顛覆美股 IPO 的打新傳統(tǒng)，讓散戶 也能夠進場成為玩家，而 Robinhood 也是這批平臺當(dāng)中最受歡迎的一個。

今年，由網(wǎng)絡(luò)社區(qū) Wallstreetbets 的散戶投資者發(fā)起的軋空運動，成功逆轉(zhuǎn)了 GameStop、AMC和黑莓等多只垃圾股票的走勢，讓主流做空機構(gòu)和投行一度損失慘重。此事件中， 最早的協(xié)同交易行為就是在 Robinhood 上進行的，引發(fā)了大量新用戶涌入注冊和投資。

不久后，包括 Robinhood 在內(nèi)的多個券商交易平臺直接“拔網(wǎng)線”，暫停了涉事股票的交易，也遭到了散戶投資者的集體訴訟。但不管怎樣，至少對于 Robinhood 來說，這一波營銷和拉新的效果是非常顯著的。

雖然 Robinhood 一直以美國金融科技創(chuàng)新的領(lǐng)導(dǎo)者形象自居，但這家公司過去在技術(shù)安全事故和運營違規(guī)等方面，卻可以算是個“慣犯”了。

2019年 6月24 日 ， Robinhood 宣布了一筆高達 3.23億美元的 E 輪融資，當(dāng)時的估值增加了35%，達到76億美元。然而就在融資消息宣布的同一天，該公司的工程師意外地發(fā)現(xiàn)：一部分用戶的登陸密碼，竟然以明文方式存儲在系統(tǒng)里。

Robinhood 宣稱，在發(fā)現(xiàn)了情況之后已經(jīng)立刻進行了修改處理，并且事后調(diào)查沒有發(fā)現(xiàn)這些信息被除了調(diào)查團隊之外的任何人獲取的情況。

明文存儲用戶密碼這事兒聽起來挺蠢的，但其實很多知名大公司都這樣干過。僅在硅谷，光2018、19年，就已經(jīng)爆出過 Twitter、GitHub、Facebook、Instagram 和 Google 等公司，當(dāng)時都在用明文存儲密碼。

回到 Robinhood。當(dāng)時該公司宣稱此事沒有造成事實的用戶數(shù)據(jù)泄露——然而這可能不是真的。

去年，Robinhood 再次披露，大約2000名用戶的數(shù)據(jù)遭到“連續(xù)入侵”，并且黑客還洗走了賬戶內(nèi)的資金。

首先，黑客能夠登入用戶賬戶，就足夠說明用戶登錄信息（密碼，以及其他登錄驗證方式）被破解了。 其次，該公司對這一次所謂“連續(xù)入侵”的解釋并不清晰。

以上情況不禁令人懷疑，Robinhood 是否低估了前一年密碼明文存儲事件的真正影響。

除此之外，Robinhood 過去還曾經(jīng)發(fā)生過多次運營違規(guī)事件：

1）回扣事件：2018年，該公司被發(fā)現(xiàn)收入嚴(yán)重依賴交易所/做市商回扣，并且未能兌現(xiàn)給用戶最優(yōu)惠價格的承諾，因此遭到美國金融機構(gòu)監(jiān)管局125萬美元的罰款。

此事件的背景，是近年券商平臺瘋狂內(nèi)卷，集體轉(zhuǎn)型“零傭金”模式，損失了一大部分收入，所以像 Robinhood 這樣的平臺開始轉(zhuǎn)型“賣流量”，也即靠給交易所/做市商發(fā)單賺回扣。

2）無限杠桿事件：2019年，有用戶發(fā)現(xiàn) Robinhood 軟件存在漏洞，訂閱用戶可以進行“無限循環(huán)”的保證金加杠桿交易操作，只花4000美元保證金就買了大約100萬美元的股票，高達250倍杠桿。 后來，Robinhood 很快就封閉了這個所謂的漏洞。

3）用戶隱瞞事件：2020年，Robinhood 涉嫌向高頻交易公司轉(zhuǎn)移用戶訂單，并且在過程中未向用戶澄清，因此遭到了美國證券交易委員會的調(diào)查。Robinhood 最終支付了6500萬美元的罰款。

4）GameStop 軋空運動：前面提到在 GME 等“垃圾”股票價格暴漲之后，Robinhood很快強行關(guān)閉了對這些股票的交易功能，遭到了用戶的強烈反對和游行示威，甚至連美國國會都傳召該公司 CEO Vlad Tenev 出席聽證會解釋其所作所為。 知名美國民主黨進步派議員 Alexandria Ocasio-Cortez 譴責(zé) Robinhood 的行為，“Robinhood 的決定讓散戶投資者無法購買股票，但與此同時對沖基金卻能夠毫無限制地進行交易。 ”

總之，這次信息泄露事件再次給Robinhood敲響了信息安全問題的警鐘。

本文來自微信公眾號“硅星人”（ID：guixingren123），作者：光譜杜晨，36氪經(jīng)授權(quán)發(fā)布。