这家曾经明文存储密码的公司，又被黑客盯上了。

Robinhood用户在查收、回复貌似来自Robinhood的邮件时，需谨慎调查邮件来源、邮件内容。

美国时间11月8日晚间，Robinhood，美国最受欢迎的股票交易和行情App，突然披露了一起严重的数据安全事故。事故中，黑客非法获取了大约一个大约500万人的用户组的电子邮件地址，以及另外一个大约200万人用户组的姓名。

除此之外，大约310名用户的个人信息遭到泄露，包括姓名、生日、邮编等。这组用户当中，有10人属于严重泄漏的情况，也即可能泄露了更多的信息，但Robinhood并未提及具体哪些泄露，只是表示正在通过合适的途径联系受影响的用户。

除此之外，在事故中，没有类似银行卡号、SSN等敏感的财务相关数据遭到泄露。该公司宣称，黑客在事发之后曾索要赏金，但该公司并没有屈服。

首席安全官CalebSima表示，Robinhood“作为一家安全为先的公司，在彻查事故之后向全体用户公开澄清事故的真相，是正确的事情。”

在此之前，该公司于2019、2020年多次遭遇到黑客攻击，导致用户信息泄露和用户账户资金丢失，其中不乏因为严重的系统安全设计缺陷(如明文存储密码)而导致的泄露。

事故详情很遗憾，无论一家公司有多注重安全，在系统安全方面投入了大量的金钱和先进技术，这家公司仍然会存在一个可能被轻易攻破的方面。

这个方面，就是人。

在本次事故中，Robinhood正是在员工安全意识方面出了问题。据该公司透露，在11月3日，黑客以社会工程学的手段，通过电话取得了一名客服人员的信任，成功获得了客服系统的登录权限，并最终导出了大约500万名用户的电子邮箱。

正如前述，本次安全事故中，存在几个受波及程度不同的用户组别。这些组别的波及人数和泄露情况分别如下：

500万人：电子邮箱

200万人：姓名

310人：包括姓名、生日、邮编等在内的个人信息

10人：更加详尽的账户信息

Robinhood公司发现事故并展开了止损工作。随后，黑客方面对该公司进行了敲诈，企图勒索一笔“赎金”。不过Robinhood并没有向黑客妥协，而是已经向相关执法和金融监管部门报案。

目前，该公司还在和一家具有美国军方背景的私人网络安全公司展开合作，展开事故调查。

由于主要泄露的信息是用户的电子邮件，知名安全专家BrianKrebs指出，之后针对Robinhood用户的钓鱼邮件可能会增加。因此，Robinhood用户在查收、回复貌似来自Robinhood的邮件时，需谨慎调查邮件来源、邮件内容。

Robinhood方面也宣称，公司官方和用户通讯的时候，永远不会用链接等方式试图获得用户的登录信息，也即呼吁用户加强安全意识，收到仿冒者的类似通讯时不要让其得逞。

数据安全问题缠身的RobinhoodRobinhood是目前美国最受欢迎的个人用户股票行情和交易软件之一。其名字用意就是“劫富济贫”，让金融市场可以为普通人所用，而非仅限有钱人。

该公司的产品让股票交易和行情信息的获取门槛降低，让普通人不需要自己的股票经纪/投资顾问，就可以在手机上进行投资和交易。除此之外，近几年一些新创互联网金融公司试图颠覆美股IPO的打新传统，让散户也能够进场成为玩家，而Robinhood也是这批平台当中最受欢迎的一个。

今年，由网络社区Wallstreetbets的散户投资者发起的轧空运动，成功逆转了GameStop、AMC和黑莓等多只垃圾股票的走势，让主流做空机构和投行一度损失惨重。此事件中，最早的协同交易行为就是在Robinhood上进行的，引发了大量新用户涌入注册和投资。

不久后，包括Robinhood在内的多个券商交易平台直接“拔网线”，暂停了涉事股票的交易，也遭到了散户投资者的集体诉讼。但不管怎样，至少对于Robinhood来说，这一波营销和拉新的效果是非常显著的。

虽然Robinhood一直以美国金融科技创新的领导者形象自居，但这家公司过去在技术安全事故和运营违规等方面，却可以算是个“惯犯”了。

2019年6月24日，Robinhood宣布了一笔高达3.23亿美元的E轮融资，当时的估值增加了35%，达到76亿美元。然而就在融资消息宣布的同一天，该公司的工程师意外地发现：一部分用户的登陆密码，竟然以明文方式存储在系统里。

Robinhood宣称，在发现了情况之后已经立刻进行了修改处理，并且事后调查没有发现这些信息被除了调查团队之外的任何人获取的情况。

明文存储用户密码这事儿听起来挺蠢的，但其实很多知名大公司都这样干过。仅在硅谷，光2018、19年，就已经爆出过Twitter、GitHub、Facebook、Instagram和Google等公司，当时都在用明文存储密码。

回到Robinhood。当时该公司宣称此事没有造成事实的用户数据泄露——然而这可能不是真的。

去年，Robinhood再次披露，大约2000名用户的数据遭到“连续入侵”，并且黑客还洗走了账户内的资金。

首先，黑客能够登入用户账户，就足够说明用户登录信息(密码，以及其他登录验证方式)被破解了。其次，该公司对