Robinhood 用戶在查收、回復 貌似來自Robinhood的郵件時，需謹慎調查郵件來源、郵件內容。

美國時間11月8日晚間，Robinhood，美國最受歡迎的股票交易和行情 App，突然披露了一起嚴重的數據安全事故。事故中，黑客非法獲取了大約一個大約500萬人的用戶組的電子郵件地址，以及另外一個大約200萬人用戶組的姓名。

除此之外，大約310名用戶的個人信息遭到泄露，包括姓名、生日、郵編等。這組用戶當中，有10人屬于嚴重泄漏的情況，也即可能泄露了更多的信息，但 Robinhood 并未提及具體哪些泄露，只是表示正在通過合適的途徑聯系受影響的用戶。

除此之外，在事故中，沒有類似銀行卡號、SSN等敏感的財務相關數據遭到泄露。該公司宣稱，黑客在事發之后曾索要賞金，但該公司并沒有屈服。

首席安全官 Caleb Sima 表示，Robinhood “作為一家安全為先的公司，在徹查事故之后向全體用戶公開澄清事故的真相，是正確的事情。”

在此之前，該公司于2019、2020年多次遭遇到黑客攻擊，導致用戶信息泄露和用戶賬戶資金丟失，其中不乏因為嚴重的系統安全設計缺陷（如明文存儲密碼）而導致的泄露。

事故詳情

很遺憾，無論一家公司有多注重安全，在系統安全方面投入了大量的金錢和先進技術，這家公司仍然會存在一個可能被輕易攻破的方面。

這個方面，就是人。

在本次事故中，Robinhood 正是在員工安全意識方面出了問題。據該公司透露，在11月3日，黑客以社會工程學的手段，通過電話取得了一名客服人員的信任，成功獲得了客服系統的登錄權限，并最終導出了大約500萬名用戶的電子郵箱。

正如前述，本次安全事故中，存在幾個受波及程度不同的用戶組別。這些組別的波及人數和泄露情況分別如下：

500萬人：電子郵箱

200萬人：姓名

310人：包括姓名、生日、郵編等在內的個人信息

10人：更加詳盡的賬戶信息

Robinhood 公司發現事故并展開了止損工作。隨后，黑客方面對該公司進行了敲詐，企圖勒索一筆“贖金”。不過 Robinhood 并沒有向黑客妥協，而是已經向相關執法和金融監管部門報案。

目前，該公司還在和一家具有美國軍方背景的私人網絡安全公司展開合作，展開事故調查。

由于主要泄露的信息是用戶的電子郵件，知名安全專家 Brian Krebs 指出，之后針對 Robinhood 用戶的釣魚郵件可能會增加。因此，Robinhood 用戶在查收、回復貌似來自Robinhood的郵件時，需謹慎調查郵件來源、郵件內容。

Robinhood 方面也宣稱，公司官方和用戶通訊的時候，永遠不會用鏈接等方式試圖獲得用戶的登錄信息，也即呼吁用戶加強安全意識，收到仿冒者的類似通訊時不要讓其得逞。

數據安全問題纏身的 Robinhood

Robinhood 是目前美國最受歡迎的個人用戶股票行情和交易軟件之一。 其名字用意就是“劫富濟貧”，讓金融市場可以為普通人所用，而非僅限有錢人。

該公司的產品讓股票交易和行情信息的獲取門檻降低，讓普通人不需要自己的股票經紀/投資顧問，就可以在手機上進行投資和交易。除此之外， 近幾年 一些新創互聯網金融 公司試圖 顛覆美股 IPO 的打新傳統，讓散戶 也能夠進場成為玩家，而 Robinhood 也是這批平臺當中最受歡迎的一個。

今年，由網絡社區 Wallstreetbets 的散戶投資者發起的軋空運動，成功逆轉了 GameStop、AMC和黑莓等多只垃圾股票的走勢，讓主流做空機構和投行一度損失慘重。此事件中， 最早的協同交易行為就是在 Robinhood 上進行的，引發了大量新用戶涌入注冊和投資。

不久后，包括 Robinhood 在內的多個券商交易平臺直接“拔網線”，暫停了涉事股票的交易，也遭到了散戶投資者的集體訴訟。但不管怎樣，至少對于 Robinhood 來說，這一波營銷和拉新的效果是非常顯著的。

雖然 Robinhood 一直以美國金融科技創新的領導者形象自居，但這家公司過去在技術安全事故和運營違規等方面，卻可以算是個“慣犯”了。

2019年 6月24 日 ， Robinhood 宣布了一筆高達 3.23億美元的 E 輪融資，當時的估值增加了35%，達到76億美元。然而就在融資消息宣布的同一天，該公司的工程師意外地發現：一部分用戶的登陸密碼，竟然以明文方式存儲在系統里。

Robinhood 宣稱，在發現了情況之后已經立刻進行了修改處理，并且事后調查沒有發現這些信息被除了調查團隊之外的任何人獲取的情況。

明文存儲用戶密碼這事兒聽起來挺蠢的，但其實很多知名大公司都這樣干過。僅在硅谷，光2018、19年，就已經爆出過 Twitter、GitHub、Facebook、Instagram 和 Google 等公司，當時都在用明文存儲密碼。

回到 Robinhood。當時該公司宣稱此事沒有造成事實的用戶數據泄露——然而這可能不是真的。

去年，Robinhood 再次披露，大約2000名用戶的數據遭到“連續入侵”，并且黑客還洗走了賬戶內的資金。

首先，黑客能夠登入用戶賬戶，就足夠說明用戶登錄信息（密碼，以及其他登錄驗證方式）被破解了。 其次，該公司對這一次所謂“連續入侵”的解釋并不清晰。

以上情況不禁令人懷疑，Robinhood 是否低估了前一年密碼明文存儲事件的真正影響。

除此之外，Robinhood 過去還曾經發生過多次運營違規事件：

1）回扣事件：2018年，該公司被發現收入嚴重依賴交易所/做市商回扣，并且未能兌現給用戶最優惠價格的承諾，因此遭到美國金融機構監管局125萬美元的罰款。

此事件的背景，是近年券商平臺瘋狂內卷，集體轉型“零傭金”模式，損失了一大部分收入，所以像 Robinhood 這樣的平臺開始轉型“賣流量”，也即靠給交易所/做市商發單賺回扣。

2）無限杠桿事件：2019年，有用戶發現 Robinhood 軟件存在漏洞，訂閱用戶可以進行“無限循環”的保證金加杠桿交易操作，只花4000美元保證金就買了大約100萬美元的股票，高達250倍杠桿。 后來，Robinhood 很快就封閉了這個所謂的漏洞。

3）用戶隱瞞事件：2020年，Robinhood 涉嫌向高頻交易公司轉移用戶訂單，并且在過程中未向用戶澄清，因此遭到了美國證券交易委員會的調查。Robinhood 最終支付了6500萬美元的罰款。

4）GameStop 軋空運動：前面提到在 GME 等“垃圾”股票價格暴漲之后，Robinhood很快強行關閉了對這些股票的交易功能，遭到了用戶的強烈反對和游行示威，甚至連美國國會都傳召該公司 CEO Vlad Tenev 出席聽證會解釋其所作所為。 知名美國民主黨進步派議員 Alexandria Ocasio-Cortez 譴責 Robinhood 的行為，“Robinhood 的決定讓散戶投資者無法購買股票，但與此同時對沖基金卻能夠毫無限制地進行交易。 ”

總之，這次信息泄露事件再次給Robinhood敲響了信息安全問題的警鐘。

本文來自微信公眾號“硅星人”（ID：guixingren123），作者：光譜杜晨，36氪經授權發布。