Компания сообщает, что атака была локализована и злоумышленнику не удалось раскрыть номера социального страхования, номера банковских счетов или дебетовых карт. Утверждается, что в результате инцидента ни один из клиентов не понёс финансовых потерь.

«Третья сторона получила доступ к ограниченному объему личной информации для части наших клиентов. На основании нашего расследования атака была локализована», — говорится в сообщении компании.

Кроме того, предполагается, что была раскрыта дополнительная личная информация, включая имя, дату рождения и почтовый индекс, примерно у 310 человек. Также мошенник смог раскрыть более подробные данные об учетной записи около десяти клиентов. Как сообщает компания, от рук мошенников пострадали несколько млн человек.

«В настоящее время мы понимаем, что неавторизованная сторона получила список адресов электронной почты пяти миллионов человек и полные имена другой группы примерно двух миллионов человек. Но как компания, занимающаяся прежде всего безопасностью, мы обязаны перед нашими клиентами быть прозрачными и добросовестно действовать», — сказал директор по безопасности Robinhood Калеб Сима.

Отмечается, что злоумышленник во время телефонного разговора с сотрудником организации использовал методы социальной инженерии и получил доступ к ряду определенным системам поддержки клиентов.

После локализации атаки злоумышленники потребовали выкуп. Организация обратилась в правоохранительные органы и продолжила расследование инцидента совместно с фирмой по кибербезопасности Mandiant.