Betterment在遭遇加密货币钓鱼攻击后确认数据泄露事件_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

Betterment在遭遇加密货币钓鱼攻击后确认数据泄露事件

2026-02-06 04:31:08

安全事件概述

某金融服务公司近期确认发生一起安全事件：攻击者利用社会工程学手段，获取了该公司使用的第三方营销与运营工具的访问权限，导致部分客户联系数据泄露，并借此发起了一次针对性的加密货币主题钓鱼尝试。公司声明，此次事件于1月9日被发现，并未涉及客户账户密码或核心账户系统的泄露。尽管如此，该事件凸显了市场营销与运营平台可能成为安全链条中的薄弱环节，尤其是当攻击者利用受信任的通信渠道来欺骗用户时。

事件要点

未经授权的访问发生于1月9日，攻击手段是通过社会工程学攻击第三方营销与运营平台。泄露的数据包括姓名和电子邮件地址，部分案例中还涉及邮政地址、电话号码和出生日期。攻击者向一部分客户发送了虚假的加密货币相关消息，企图诱导资金转账。根据公司的调查，未发现客户账户、密码或登录凭据被访问。公司已聘请专业网络安全公司进行取证分析，并计划在60天内完成事件后审查报告。

市场背景

在金融科技领域，社会工程学和网络钓鱼仍然是最常见的攻击媒介之一。随着企业扩展数字通信和客户触达渠道，第三方SaaS工具正日益成为攻击目标。

事件影响与意义

此次事件突显了与处理客户通信的外包平台相关的风险。即使核心基础设施保持安全，攻击者仍可利用外围系统大规模接触用户。对客户而言，此次事件提醒我们，外观合法的信息也可能具有欺骗性，尤其是在涉及加密货币等热门投资主题时。对于金融科技公司而言，这强化了一个需求：不仅需要保护内部系统，还必须确保更广泛的供应商生态系统的安全。

后续关注事项

未来60天内该公司事件后审查报告的发布。独立数据分析审查对潜在隐私风险的评估结果。最终调查结束后可能出现的监管或客户通知。该公司旨在防范社会工程学的控制措施与培训计划的调整。

事件过程与细节

该公司披露，一名未经授权的个人于1月9日通过冒充合法用户并利用基于信任的工作流程，获得了其某些系统权限。攻击者并未直接入侵核心技术基础设施，而是针对支持营销和运营功能的第三方软件平台使用了社会工程学手段。此次访问使攻击者能够查看并提取客户联系信息。根据公司声明，数据泄露主要涉及姓名和电子邮件地址，但在部分案例中也包含了物理地址、电话号码和出生日期。受影响的客户总数尚未公布。

利用所获取的权限，攻击者分发了一条看似源自该公司的欺诈性信息。该通知推广了一个虚假的加密货币相关机会，声称用户只需向攻击者控制的钱包转账即可使资产价值翻倍。此信息被发送给了接触信息通过被入侵系统可访问的有限客户群体。

公司表示，其在事发当天就识别了未授权活动，并立即撤销了对受影响平台的访问权限。同时启动了内部调查，并在网络安全公司的支持下，以确定入侵范围并核查客户账户或凭证是否面临风险。随后的取证分析未发现攻击者访问客户账户、密码或登录凭据的证据。公司强调，账户级系统受到多层安全保护，此次入侵仅限于联系数据和通信工具。

事件发生后的几天内，该公司联系了收到欺诈信息的客户，建议他们忽略该信息。公司重申，绝不会通过电子邮件、短信或电话索要密码或敏感个人信息。

该安全事件发生期间，公司在1月中旬还遭遇了其他服务中断。1月13日，其网站和移动应用程序因分布式拒绝服务攻击而出现间歇性中断。公司在大约一小时内恢复了部分服务，并于当日下午晚些时候全面恢复访问，声明此次DDoS事件未危及账户安全。

至2月初，公司提供了调查的进一步进展。确认尽管部分客户数据被访问，但隐私影响似乎仅限于联系信息。公司已聘请独立数据分析公司审查所有被访问的数据。公司还表示，计划在60天内发布全面的事件后审查报告。同时，公司正在加强控制措施和培训计划，以更好地防御依赖欺骗而非技术漏洞的社会工程学攻击。

事件披露中的一个细节引起了安全观察者的关注。截至发布时，该公司安全事件网页的源代码中包含“noindex”指令，该指令会要求搜索引擎不索引该页面。虽然此类标签有时在主动调查期间使用，但它可能使客户和公众更难通过网络搜索发现有关漏洞的信息。

此次事件反映了金融科技及加密相关领域一个更广泛的模式：攻击者越来越多地针对受信任的通信渠道，而非核心系统。随着公司集成更多第三方工具来管理客户关系、营销活动和运营工作流程，攻击面已扩展到传统的网络防御之外。

对该公司的这起事件而言，截至目前尚未确认导致财务损失或账户被接管。然而，它凸显了当攻击者成功冒充知名金融平台时，用户信任可能迅速受到考验。公司即将发布的事件后审查报告，可能会进一步揭示漏洞发生的原因以及未来将实施哪些保障措施以降低类似攻击的风险。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文