Dass sich unter den geklauten Daten die E-Mail-Adressen von etwa fünf Millionen Menschen und die vollständigen Namen weiterer zwei Millionen Menschen befanden, hatte Robinhood bereits vor rund einer Woche bestätigt. Von 310 Nutzern seien auch zusätzliche Daten wie Geburtstage und Postleitzahlen abgegriffen worden, hieß es. Außerdem seien von etwa zehn Kunden auch „umfangreichere“ Kontodaten aufgedeckt worden, wobei Robinhood nicht definierte, was genau unter „umfangreich“ zu verstehen ist. Laut den ersten Mitteilungen zum Vorfall von Robinhood sei die Sicherheitslücke zügig geschlossen worden.

In einem Blog-Update am Dienstag teilte das Finanzdienstleistungsunternehmen, das auf Aktien- und Kryptoanlagen spezialisiert ist, nun mit, dass die Hacker auch an „mehrere Tausend Einträge“ mit Telefonnummern gekommen seien. Die genaue Zahl gab Robinhood nicht bekannt. Das Technologie-Onlinemagazin Motherboard berichtet indes, es handele sich um etwa 4.400.

Robinhood geht davon aus, dass sich unter den gestohlenen Daten „keine Sozialversicherungsnummern, Bankkontonummern oder Debitkartennummern“ befänden und den Kunden durch den Vorfall kein finanzieller Schaden entstünde. Laut Motherboard sind Telefonnummern in den Händen von Hackern besonders gefährlich, da die Hacker sie dazu verwenden könnten, die Multi-Faktor-Authentifizierung von Smartphones auszutricksen oder Phishing-Nachrichten von fremden Geräten zu versenden.

Nachdem die Hacker die sensiblen Daten erbeutet hatten, verlangten sie Lösegeld. Robinhood setzte sich daraufhin mit den Behörden in Verbindung und beauftragte das Sicherheitsunternehmen Mandiant, den Vorfall zu untersuchen. Ob es zur Lösegeldzahlung gekommen ist, beantwortete Robinhood bislang nicht.