Betterment确认数据泄露：黑客借第三方系统发加密诈骗通知，用户敏感信息暴露

0 0

【TechCrunch 2026年1月15日讯】美国金融科技巨头Betterment陷入数据安全危机。1月12日，这家以智能投顾服务闻名的公司正式确认，1月9日遭遇黑客攻击，攻击者通过社会工程学手段入侵其用于营销和运营的第三方平台，获取了数量未公开的用户个人信息，包括姓名、邮箱、邮寄地址、电话号码及出生日期。更严重的是，黑客利用窃取的权限向用户推送虚假通知，以“加密资产三倍返还”为诱饵，诱导用户向指定钱包转入1万美元。目前Betterment已紧急阻断未授权访问，但数据泄露规模、后续影响仍存诸多谜团。

一、攻击始末：从第三方系统突破到诈骗通知扩散

Betterment此次数据泄露并非直接攻破核心账户系统，而是瞄准了防护相对薄弱的第三方合作平台，攻击流程环环相扣，暴露了金融科技公司“供应链安全”的普遍隐患。

1. 攻击路径：社会工程学撕开第三方防线

根据Betterment向用户发送的邮件（TechCrunch已获取副本）及官网声明，攻击始于1月9日：

入侵手段：黑客针对Betterment合作的“第三方营销与运营平台”发起社会工程学攻击——通过伪装成平台工作人员、发送钓鱼链接或诱导泄露权限等方式，获取该平台的操作权限。Betterment未披露涉事第三方平台名称，但行业推测可能是负责用户邮件推送、活动通知的营销工具；
数据窃取范围：黑客通过第三方平台访问到用户的基础敏感信息，但核心账户数据（如密码、登录凭证、投资资产明细）未被攻破。Betterment强调“没有客户账户被入侵，密码等关键信息安全”，试图缓解用户对资产安全的担忧；
诈骗行动：获取权限后，黑客立即发起诈骗，向部分用户推送欺诈通知，声称“向指定比特币/以太坊钱包转入1万美元，3小时内可获三倍返还”。相关截图迅速在Reddit等社交平台传播，有用户反馈收到通知时“差点误以为是官方活动”，直至Betterment在X平台（原Twitter）辟谣才避免损失。

2. 企业响应：当日阻断攻击，但透明度遭质疑

Betterment表示，已于1月9日攻击当天检测到异常，采取了三项紧急措施：

权限回收：立即撤销黑客在第三方平台的未授权访问权限，切断数据泄露与诈骗通知的传播渠道；
启动调查：聘请外部网络安全公司开展全面调查，目前调查仍在进行中；
用户提醒：向可能受影响的用户发送邮件，明确告知“诈骗通知非官方发布，切勿操作”。

但回应中存在明显信息缺口：未说明具体有多少用户信息被泄露、涉事第三方平台的责任划分、是否已向监管机构报备。更引发争议的是，其安全事件网页源代码中隐藏了“noindex”标签——该标签会阻止搜索引擎抓取页面，导致用户通过谷歌、必应等工具难以查询泄露详情，被质疑“刻意降低信息透明度”。

二、泄露影响：敏感信息暴露存多重风险，加密业务成诈骗突破口

尽管Betterment强调“核心账户安全”，但此次泄露的用户基础信息，仍可能给用户带来身份盗用、二次诈骗等连锁风险，尤其其涉及的加密投资业务，成为黑客精准攻击的切入点。

1. 用户面临的三大风险

身份盗用：泄露的姓名、出生日期、地址等信息，可能被用于伪造身份证、申请信用卡或贷款。根据微软安全团队的分析，此类基础信息组合是身份盗窃的“核心素材”，黑客可通过拼接公开数据库（如选民登记信息）完成精准诈骗；
定向钓鱼：掌握用户邮箱、电话后，黑客可能发送伪装成Betterment官方的钓鱼邮件或短信，以“账户异常需验证”“修复信息泄露漏洞”等名义，诱导用户填写密码、银行卡号等关键信息；
加密投资诈骗延伸：Betterment自2024年起开放加密资产投资功能，此次诈骗直接瞄准这一业务——黑客深知用户有加密资产持仓，以“高返还”为诱饵，精准击中部分用户的投机心理。The Verge报道称，已有数十名用户向Betterment客服反馈“收到诈骗通知后产生动摇”，虽暂无资金损失案例，但风险隐患已显现。

2. 对Betterment的信任危机

此次泄露并非Betterment首次陷入合规与安全争议。2025年4月，该公司因2012-2015年“粉饰账面”“客户证券隔离不当”等违规行为，被美国金融行业监管局（FINRA）罚款40万美元，联合创始人兼前总裁Eli Broverman、财务主管Richard Feldman分别被罚款1万、5000美元。当时Betterment虽称“已完成整改”，但此次数据泄露再次暴露其安全管理短板——对第三方合作平台的风险管控不足，且信息披露的及时性、透明度远低于金融行业标准。

有用户在Betterment官网评论区质疑：“作为管理超100亿美元资产的平台，连第三方系统的安全都守不住，如何让人相信我的投资安全？”目前已有部分用户表示“考虑转移资产至更安全的平台”，可能对Betterment的资产管理规模造成冲击。

三、行业警示：金融科技“第三方安全”成薄弱环节

Betterment的数据泄露事件，再次凸显金融科技行业“供应链安全”的严峻性——企业为提升运营效率，常将营销、客服、数据存储等业务外包给第三方，但对这些合作方的安全审核往往存在漏洞，成为黑客攻击的“突破口”。

1. 第三方风险的普遍现状

根据普华永道2024年《金融科技合规风险报告》，60%以上的金融科技企业曾因第三方合作平台安全漏洞遭遇数据风险，主要问题包括：

安全审核流于形式：对第三方平台的资质审查集中在“营业执照”“服务资质”，缺乏对数据加密、访问控制、应急响应等技术能力的深度评估；
权限管理失控：向第三方开放的数据权限过大，未遵循“最小必要原则”——例如本只需向营销平台开放用户邮箱用于发送活动通知，却额外开放了地址、电话等敏感信息；
应急协同不足：未与第三方建立实时安全协同机制，导致黑客入侵后，企业难以及时察觉并阻断风险。

2. 用户如何防范此类风险？

针对此次事件，网络安全专家给出三点建议：

警惕“高返还”诈骗：金融机构不会以“转账返现”“资产倍增”为噱头发起活动，收到此类通知需通过官方APP、官网或客服热线二次核实，切勿点击不明链接或转账；
强化个人信息保护：若收到Betterment等平台的信息泄露通知，可定期查询征信报告，警惕陌生账户开户、贷款申请记录；对无关紧要的平台，及时修改密码并关闭非必要的信息授权；
区分“官方渠道”：将常用金融APP添加至手机“白名单”，避免通过短信链接、非官方网页登录账户，减少钓鱼攻击风险。