Robinhood: Millionen Kundendaten bei Online-Broker gestohlen
Unbekannte haben sich in der vergangenen Woche Zugang zu Kundendaten der Investment-App Robinhood verschafft. Das teilte das Unternehmen am Montag mit. Bei einem Großteil der entwendeten Daten handelt es sich um E-Mail-Adressen – in einigen Fällen wurden auch Namen und Geburtsdaten erbeutet.
Nach Angaben von Robinhood ereignete sich der Vorfall bereits am 3. November. Nach bisherigen Erkenntnissen wurden die E-Mail-Adressen von rund fünf Millionen Kundinnen und Kunden erbeutet. Außerdem gelangten die Angreifer in den Besitz der vollständigen Namen von weiteren zwei Millionen Kundinnen und Kunden. Von etwa 310 Personen seien zudem “weitere persönliche Informationen” wie Geburtsdaten und Postleitzahlen abgegriffen worden.
Keine Finanzdaten betroffen
Der Anbieter geht davon aus, dass keine Bankdaten oder Sozialversicherungsnummern entwendet wurden. Auch gebe es bisher keine Hinweise darauf, dass Kunden finanzielle Verluste entstanden sind. Von etwa zehn Kundinnen und Kunden seien jedoch “weitere Account-Daten” offengelegt worden – Details nannte der Anbieter nicht. Ein Sprecher sagte dem Online-Magazin The Verge, auch bei diesen Daten handle es sich nicht um Sozialversicherungsnummern oder andere Finanzdaten.
Robinhood bietet eine App zum Handel mit Aktien und Kryptowährungen an. Das Unternehmen ist derzeit nur in den USA tätig und hat nach eigenen Angaben knapp 19 Millionen aktive monatliche Nutzerinnen und Nutzer.
Ein Angriff auf die IT-Systeme des Unternehmens war nicht nötig, um an die Daten zu gelangen: Nach Angaben des Unternehmens soll es sich bei dem Angriff um sogenanntes Social Engineering per Telefon gehandelt haben. Dabei wird versucht, eine Person zu beeinflussen und beispielsweise zur Preisgabe vertraulicher Informationen zu bewegen. In diesem Fall mit Erfolg: Die Angreifer sollen durch die Manipulation eines Support-Mitarbeiters Zugriff auf die Kundendienstsysteme erhalten haben.
Die Angreifer hätten zudem ein Lösegeld für die abgeschöpften Daten verlangt. Das Unternehmen habe die Strafverfolgungsbehörden eingeschaltet und arbeite zudem mit einer externen IT-Sicherheitsfirma zusammen, um den Vorfall zu untersuchen. Personen, deren Daten abhanden gekommen sind, sollen informiert werden.
Frühere Sicherheitsvorfälle
Es ist nicht der erste Sicherheitsvorfall bei dem Online-Finanzdienstleister: Im Sommer 2019 hatte das Unternehmen Kunden darüber informiert, dass es einige Passwörter im Klartext gespeichert hatte. Wie viele Personen betroffen waren, hatte das Unternehmen damals nicht mitgeteilt. Im Oktober 2020 sollen sich Unbekannte zudem Zugang zu etwa 2000 Robinhood-Konten verschafft haben. Die genauen Umstände blieben jedoch unklar: Das Unternehmen hatte damals gegenüber der Nachrichtenagentur Bloomberg erklärt, kompromittierte E-Mail-Konten seien für den Einbruch in die Robinhood-Accounts verantwortlich gewesen.
Auch an dem Geschäftsmodell von Online-Brokern wie Robinhood gibt es Kritik: Laut einer Studie der Universität St. Gallen, der Universität Paderborn und der New York University verleiten die Apps viele Anleger zu besonders häufigem Handeln – mit einem messbar höheren Risiko. Im US-Bundesstaat Massachusetts hatte die Finanzaufsicht im April angekündigt, dem Anbieter die Lizenz entziehen zu wollen, weil das Unternehmen unerfahrene Anbieter zu riskanten Geschäften ermutige. (js)