金融科技公司 Betterment 发生数据泄露，140 万用户账户信息受影响

今年 1 月，自动化投资平台 Betterment 系统遭黑客攻陷，140 万用户账户的电子邮箱地址及其他个人信息被窃取。

Betterment 主营自动化投资工具与金融咨询服务，是美国 “机器人投顾” 领域的先驱企业。这家金融科技公司共为超 100 万客户管理着 650 亿美元资产。

尽管 Betterment 未披露受影响总人数，但数据泄露查询平台 Have I Been Pwned 分析被盗数据后表示，此次泄露波及 1435174 个账户，涉及信息包括电子邮箱、姓名及地理位置数据。

遭泄露的信息还包括出生日期、通讯地址、电话号码、设备信息、雇主地理位置及职位名称。

Betterment 于 1 月 10 日披露，威胁行为者通过社会工程学攻击侵入部分系统后，还发送伪装成公司促销活动的欺诈邮件，试图诱导目标客户落入奖励骗局 —— 该骗局宣称，向攻击者控制的比特币、以太坊钱包转入加密货币，可获得三倍金额返还。

Betterment 警示用户：“此活动并非官方福利，切勿理会；即便点击了活动通知，也不会影响你的 Betterment 账户安全。目前非授权访问已被阻断，且暂无证据表明非授权人员获取过 Betterment 客户账户的访问权限。”

1 月 13 日科技媒体 BleepingComputer 报道称，Betterment 遭分布式拒绝服务（DDoS）攻击且被勒索，此后该公司确认，官网及移动应用的间歇性宕机系 DDoS 攻击所致，但尚未披露任何与勒索相关的细节。

本周早些时候，Betterment 再发声明称，联合网络安全厂商 CrowdStrike 开展后续溯源调查后确认，此次泄露未导致客户账户被攻陷。

该公司表示：“在 CrowdStrike 支持下，我们完成溯源调查，确认 1 月 9 日的事件未造成客户账户、密码及登录信息泄露。”“分析结果进一步确认，此次隐私影响主要集中在部分客户联系信息（含姓名、邮箱）；部分案例中，联系信息还关联了通讯地址、电话号码、出生日期等其他客户信息。”

截至发稿，Betterment发言人在BleepingComputer就此事联系问询后尚未作出回复。