Platform perdagangan Robin Hood (terbuka di tab baru) telah mengumumkan bahwa lebih dari tujuh juta pelanggannya telah terkena dampak pelanggaran data.
“Berdasarkan penyelidikan kami, serangan itu telah diatasi dan kami percaya bahwa tidak ada nomor Jaminan Sosial, nomor rekening bank, atau nomor kartu debit yang terungkap dan tidak ada kerugian finansial bagi pelanggan mana pun sebagai akibat dari insiden tersebut,” diungkapkan (terbuka di tab baru) Robinhood atas kemauan sendiri.
Platform, yang mendapatkan keburukan selama saga GameStop (terbuka di tab baru)berbagi bahwa serangan itu diatur oleh rekayasa sosial seorang eksekutif dukungan pelanggan melalui telepon untuk mendapatkan akses ke sistem dukungan pelanggan tertentu.
Melalui akses ini, penyerang dapat menarik daftar alamat email sekitar lima juta orang, dan nama lengkap untuk grup terpisah yang terdiri dari dua juta orang.
Kontrol kerusakan
Sekelompok kecil yang terdiri dari sekitar 310 pengguna kehilangan informasi pengenal pribadi (PII) tambahan, termasuk nama, tanggal lahir, dan kode pos mereka, sementara “detail akun yang lebih luas” terungkap tentang sepuluh pelanggan lainnya.
Robinhood mengklaim dapat menahan insiden tersebut, dan terus menyelidiki insiden tersebut dengan bantuan keamanan cyber (terbuka di tab baru) tegas Mandiant.
Robinhood juga menceritakan bahwa dia didekati oleh para penyerang yang meminta “pembayaran pemerasan”. Namun, platform tersebut mengatakan malah memberi tahu penegak hukum, meskipun tidak secara eksplisit menyebutkan bahwa mereka tidak terlibat dengan para pelaku.
Tautan terlemah
Pakar keamanan siber TechRadar Pro narasumber mengatakan kejadian tersebut merupakan pengingat bahwa manusia seringkali merupakan mata rantai terlemah dalam ekosistem.
“Untuk mengurangi risiko, perusahaan harus memiliki beberapa lapisan kontrol dengan pembatasan siapa yang dapat mengakses data penting misi. Ini bisa menjadi tantangan bagi perusahaan jasa keuangan dengan karyawan bekerja dari jarak jauh dari rumah (terbuka di tab baru) dan data dan sistem pelanggan menjadi lebih terdistribusi di seluruh lokasi, awan (terbuka di tab baru) dan SaaS (terbuka di tab baru) infrastruktur,” kata Ken Westin, Direktur, Strategi Keamanan, Cybereason.
Alicia Townsend, penginjil teknologi bersama manajemen identitas (terbuka di tab baru) ahli OneLogin setuju, menambahkan bahwa “insiden ini menyoroti dua poin penting: mendidik karyawan tentang kemungkinan ancaman keamanan dunia maya terutama ancaman rekayasa sosial dan membatasi akses ke informasi pelanggan seminimal mungkin bagi karyawan berdasarkan peran pekerjaan mereka.”
Menggagalkan serangan rekayasa sosial
Namun, Trevor Morgan, manajer produk dengan spesialis keamanan data comforte AG mengatakan bahwa pelatihan tidak mengatasi akar masalah yang membantu memfasilitasi serangan rekayasa sosial seperti ini.
Morgan mengatakan sebagian besar karyawan bekerja di lingkungan data yang sangat dipercepat, di mana keterlambatan dalam memberikan atau berbagi informasi dapat menghentikan kemajuan. Dia percaya inilah kerentanan yang dimangsa oleh rekayasa sosial.
Untuk mengatasi masalah tersebut, Morgan menyarankan bisnis harus membangun budaya organisasi yang menghargai privasi data dan mendorong karyawan untuk memperlambat dan mempertimbangkan semua konsekuensi sebelum bertindak atas permintaan informasi sensitif.
Selain itu, dia menyarankan para pemimpin TI untuk mempertimbangkan keamanan data-sentris sebagai sarana untuk melindungi data sensitif itu sendiri, bukan perimeter di sekitar data.
“Tokenisasi misalnya tidak hanya membuat elemen data sensitif tidak dapat dipahami, tetapi juga mempertahankan format data sehingga aplikasi bisnis dan pengguna tetap dapat bekerja dengan data dalam keadaan terlindungi. Jika Anda tidak pernah menghapus perlindungan data, kemungkinan besar meskipun jatuh ke tangan yang salah, informasi sensitif tersebut tidak dapat dikompromikan,“ jelas Morgan.
