ロボアドバイザーの先駆者であるBettermentは、脅威アクターがソーシャルエンジニアリングを用いて同社システムに侵入したことを受け、サイバーセキュリティ上のインシデントを公表した。
同社がマーケティングおよび業務運営に利用しているサードパーティのソフトウェアプラットフォームが攻撃に関与しており、Bettermentのインフラがハッキングされた結果ではないと、投資助言会社である同社は述べた。
脅威アクターは1月9日、特定のBetterment顧客に対し、同社になりすまして暗号資産関連のメッセージを送信し、ユーザーをだまして資金を送らせようとした。
不正なメッセージは、攻撃者が管理するビットコインおよびイーサリアムの暗号資産アドレスに新規入金すると、Bettermentがその入金額を3倍にすると主張していた。
「1月9日に不正なメッセージが送信された後、当社チームは直ちに不正アクセスを無効化し、包括的な調査を開始しました。調査は現在も継続中です」と、Bettermentは述べた。
同社は、影響を受けた顧客に対して詐欺について通知するため、直接連絡したとしている。
Bettermentによると、この攻撃で顧客アカウントへのアクセスはなく、パスワードやその他の認証情報も侵害されていない。
フィンテック企業は1月10日の通知で、影響を受けたユーザーが不正メッセージ内のリンクをクリックしていたとしても、アカウントは侵害されていないと説明した。
しかし今週、Bettermentは、脅威アクターが氏名、住所、メールアドレス、電話番号、生年月日など、特定の顧客情報にアクセスした可能性があることを明らかにした。
「すべてのお客様に、引き続き警戒し、予期しない連絡には注意するようお願いします。Bettermentが、お客様のパスワードやその他の機微な個人情報の共有を求めて電話、SMS、またはメールを送ることは決してありません」と同社は述べた。
Bettermentが明らかにしなかったのは、影響を受けた可能性のある人数である。SecurityWeekは追加情報を求めて同社にメールを送っており、回答があれば本記事を更新する。
ニューヨーク市に本社を置くBettermentは、米国最大級のロボアドバイザーの一つで、顧客数は100万人超、運用資産は650億ドル超にのぼる。
翻訳元: https://www.securityweek.com/robo-advisor-betterment-discloses-data-breach/
