الكشف عن الآلاف من أرقام الهواتف في قرصنة Robinhood
يعتبر اختراق Robinhood أسوأ مما كان يعتقد في الأصل. يوم الثلاثاء ، أفاد تطبيق تداول الأسهم أن المهاجمين سرقوا أيضًا أرقام هواتف من عدة آلاف من المستخدمين.
وأكدت Robinhood الخبر بعد أن حصلت Motherboard على ملف يحتوي على حوالي 4400 رقم هاتف مسروق من ممثل المتسللين الذين قاموا بقطع الاختراق. لم تؤكد Robinhood العدد الدقيق للمستخدمين المتأثرين ، لكنها تقول إنها لا تزال تدرس البيانات التي سرقها المهاجمون ، والتي اتخذت شكل قائمة.
تقول الشركة: "لقد قررنا أن عدة آلاف من الإدخالات في القائمة تحتوي على أرقام هواتف ، وتحتوي القائمة أيضًا على إدخالات نصية أخرى نواصل تحليلها".
قد يؤدي فقدان أرقام الهواتف إلى تعريض مستخدمي Robinhood المتأثرين لهجوم تبديل بطاقة SIM. يحدث هذا عندما يحاول أحد المتطفلين خداع مزود الخدمة الخلوية لتسليم الوصول إلى رقم هاتفك المحمول. إذا وقع مزود الخدمة الخلوية في دائرة النظام ، فسيقوم بنقل رقم هاتفك إلى بطاقة SIM جديدة ، والتي يمكن للقراصنة بعد ذلك توصيلها بأجهزتهم.
يمكن أن يكون الحصول على بطاقة SIM مدمرة بشكل خاص لأن أرقام الهواتف المحمولة تُستخدم غالبًا لتلقي رموز مرور لمرة واحدة لتسجيل الدخول أو إعادة تعيين كلمة المرور لحساب عبر الإنترنت. تقدم Robinhood نفسها مصادقة ثنائية عبر رسائل SMS.
ردًا على ذلك ، تقول Robinhood إنها تُعلم المستخدمين المتأثرين الذين كشفت أرقام هواتفهم أثناء الاختراق. لحماية أنفسهم ، سيرغبون أيضًا في تجنب استخدام أنظمة المصادقة الثنائية المستندة إلى الرسائل القصيرة وبدلاً من ذلك استخدام تطبيق المصادقة على الهاتف لتوفير رموز المرور لمرة واحدة.
وفقًا لـ Robinhood ، استخدم المهاجمون حيل الهندسة الاجتماعية لخداع موظف دعم العملاء للسماح لهم بالوصول إلى الأنظمة الداخلية. وتقول الشركة إن بيانات عناوين البريد الإلكتروني الخاصة بخمسة ملايين مستخدم تم الكشف عنها بشكل أساسي في عملية الاختراق. ومع ذلك ، أبلغت Motherboard أن الجناة كان لديهم أيضًا إمكانية الوصول لفترة وجيزة إلى أداة داخلية قادرة على العبث بحسابات المستخدمين ، على الرغم من أن Robinhood تقول إنها لم تكشف عن أي تغييرات تم إجراؤها على أي حسابات.
وأضاف Robinhood يوم الثلاثاء: "ما زلنا نعتقد أن القائمة لا تحتوي على أرقام الضمان الاجتماعي أو أرقام الحسابات المصرفية أو أرقام بطاقات الخصم وأنه لم يكن هناك أي خسارة مالية لأي عملاء نتيجة للحادث.
المصدر: https://sea.pcmag.com/security
ليست هناك تعليقات:
إرسال تعليق