Ciberdelincuentes están vendiendo millones de datos de usuarios de popular aplicación de trading
Los datos de aproximadamente 7 millones de clientes de Robinhood robados en una filtración de datos reciente se están vendiendo en un popular foro de hackers.
La semana pasada, Robinhood reveló una filtración de datos después de que uno de sus empleados fue hackeado. Después de hackearlo, el atacante usó lacuenta para acceder a la información de aproximadamente 7 millones de usuarios a través de los sistemas de atención al cliente.
Por si aún no lo sabes, Robinhood es una app de inversión para no profesionales que permite comprar y vender acciones sin pagar comisión.
Los datos robados durante el ataque incluyen la siguiente información personal para los usuarios de Robinhood:
- Direcciones de correo electrónico para 5 millones de clientes.
- Nombres completos de otros 2 millones de clientes.
- Nombre, fecha de nacimiento y código postal para 300 personas.
- Información detallada de la cuenta de diez personas.
Además de robar los datos, Robinhood declaró que el hacker intentó extorsionar a la empresa para evitar que se divulgaran los datos.
Las direcciones de correo electrónico robadas, especialmente las de servicios financieros, son particularmente populares entre los ciberdelincuentes. Esto porque pueden usarse en ataques de phishing dirigidos para robar datos más confidenciales.
Datos robados de Robinhood vendidos en un foro de hackers
Dos días después de que Robinhood revelara el ataque, un ciberdelincuente llamado ‘pompompurin’ anunció que estaba vendiendo los datos en un foro de hacking.
En una publicación en el foro, pompompurin dijo que estaba vendiendo información robada de 7 millones de clientes de Robinhood por al menos cinco cifras. Específicamente, el ciberdelincuentes espera obtener $10,000 o más.
Los datos vendidos incluyen 5 millones de direcciones de correos electrónicos. Y, para otro lote de clientes de Robinhood, 2 millones de direcciones de correos electrónicos y sus nombres completos. Sin embargo, pompompurin dijo que no vendía los datos de 310 clientes a los que les robaron más información confidencial, incluidas las tarjetas de identificación de algunos usuarios.
Robinhood no reveló inicialmente el robo de información personal. No obstante, el ciberdelincuente afirma que la descargaron de SendSafely. SendSafely es un servicio seguro de transferencia de archivos utilizado por Robinhood cuando realiza los requisitos de conozca a su cliente (KYC).
“Como revelamos el 8 de noviembre, experimentamos un incidente de seguridad de datos. En el incidente, a un subconjunto de aproximadamente 10 clientes les robaron datos personales de sus cuentas”, dijo Robinhood después de solicitarle su postura con respecto a la venta de los datos.
“Estos datos personales de la cuenta incluían imágenes de identificación para algunas de esas 10 personas. Al igual que otras compañías de servicios financieros, recopilamos y retenemos imágenes de identificación para algunos clientes como parte de nuestras verificaciones KYC requeridos por las normativas”.
Detalles de la infracción de seguridad
pompompurin dijo que obtuvo acceso a los sistemas de soporte al cliente de Robinhood después de engañar a un empleado de atención al cliente. El atacante afirma que persuadió al empleado para que instalara un software de acceso remoto en su computadora.
Una vez que el software de acceso remoto está instalado en un dispositivo, un ciberdelincuente puede monitorear sus actividades, tomar capturas de pantalla y acceder de forma remota a la computadora. Además, mientras controlan de forma remota un dispositivo, los atacantes también pueden usar las credenciales de inicio de sesión guardadas del empleado para iniciar sesión en los sistemas internos de Robinhood a los que tenían acceso.
“Pude ver toda la información de la cuenta de las personas. Vi a algunas personas mientras el agente de atención trabajaba”, dijo pompompurin.
En respuesta a más preguntas sobre cómo se vulneraron los dispositivos del empleado, Robinhood nos remitió a su declaración original. En la declaración afirman que el ciberdelincuente “trabajó socialmente a un empleado de atención al cliente por teléfono”. Sin embargo, confirmaron que no se utilizó malware en el ataque.
Como prueba de que llevaron a cabo el ataque, pompompurin publicó capturas de pantalla. En dichas capturas se puede ver que los atacantes accedieron a los sistemas internos de Robinhood.
Estas capturas de pantalla incluyeron un sistema de atención al cliente interno que se utiliza para buscar información de miembros de Robinhood por dirección de correo electrónico. Asimismo, una página de base de conocimientos interna sobre una iniciativa del “Proyecto Oliver Twister” diseñada para proteger a los clientes de alto riesgo. Además, una página de “anotaciones” que muestra notas para un determinado cliente.
Después de enterarnos de la venta de los datos, contactamos a Robinhood y le pedimos confirmación sobre si estas capturas de pantalla eran de sus sistemas.
Si bien no confirmaron explícitamente que las capturas de pantalla son de sus sistemas, solicitaron que se eliminará todas las capturas de pantalla de información privada. Esto indica que probablemente se tomaron durante el ataque.
El mismo ciberdelincuente responsable del reciente hackeo del FBI
Este ciberdelincuente, Pompompurin, también fue responsable de explotar los servidores de correo electrónico del FBI para enviar correos electrónicos amenazantes durante el fin de semana.
Este fin de semana, las entidades estadounidenses comenzaron a recibir correos electrónicos enviados desde la infraestructura del FBI. Los correos advertían a los destinatarios que sus “clústeres virtualizados” estaban siendo atacados en un “sofisticado ataque en cadena”, tal como se muestra en el correo electrónico de abajo.
Para enviar estos correos electrónicos, pompompurin encontró un error en el portal del FBI Law Enforcement Enterprise Portal (LEEP). El error le permitió enviar correos electrónicos desde direcciones IPs que pertenecen al FBI.
Como los correos electrónicos provenían de direcciones IPs propiedad del FBI, agregaron legitimidad a los correos electrónicos. Esto provocó que la agencia gubernamental se inundara con llamadas preocupadas sobre las advertencias falsas.
Después de enterarse del ataque, el FBI deshabilitó el servidor asociado con el error para resolver el problema.