Betterment подтвердил инцидент с безопасностью, в ходе которого злоумышленники использовали социальную инженерию для доступа к сторонним инструментам, используемым компанией, что привело к раскрытию контактных данных клиентов и позволило осуществить целенаправленную фишинговую атаку с криптовалютной тематикой. Взлом, обнаруженный 9 января, не затронул пароли или аккаунты клиентов, сообщает компания. Тем не менее, этот случай подчеркивает, как платформы маркетинга и операций могут стать слабым звеном, особенно когда злоумышленники используют доверенные каналы коммуникации для обмана пользователей.
Ключевые выводы
Несанкционированный доступ произошел 9 января через социальную инженерию, нацеленную на сторонние платформы, используемые для маркетинга и операций.
Раскрытые данные включали имена и адреса электронной почты, а в некоторых случаях — почтовые адреса, номера телефонов и даты рождения.
Злоумышленники отправили мошенническое сообщение, связанное с криптовалютами, части клиентов, пытаясь выманить средства.
По результатам расследования компании, не было получено доступа к аккаунтам клиентов, паролям или учетным данным для входа.
Betterment привлекла CrowdStrike для проведения судебной экспертизы и планирует провести обзор инцидента в течение 60 дней.
Контекст рынка: социальная инженерия и фишинг остаются одними из наиболее распространенных методов атак в финтехе, при этом сторонние SaaS-инструменты все чаще становятся целью по мере расширения цифровых коммуникаций и взаимодействия с клиентами.
Почему это важно
Инцидент подчеркивает риски, связанные с использованием сторонних платформ, обрабатывающих коммуникации с клиентами. Даже при сохранении безопасности основной инфраструктуры злоумышленники могут использовать периферийные системы для масштабного воздействия.
Для клиентов этот взлом служит напоминанием о том, что легитимные сообщения могут быть обманными, особенно если они ссылаются на популярные инвестиционные темы, такие как криптовалюты. Для финтех-компаний это подчеркивает необходимость защищать не только внутренние системы, но и всю экосистему поставщиков.
Что следует ожидать дальше
Публикация отчета Betterment о расследовании инцидента в течение следующих 60 дней.
Результаты независимого анализа данных, оценивающего возможные риски для конфиденциальности.
Любые регуляторные или клиентские уведомления, последующие за окончательным расследованием.
Изменения в контролях и обучении Betterment, направленные на предотвращение социальной инженерии.
Источники и проверка
Обновления клиентов Betterment, опубликованные с 9 января по 3 февраля 2026 года.
Заявления компании, подтверждающие судебные выводы и меры по устранению последствий.
Детали фишингового сообщения и затронутых категорий данных, описанные в официальных обновлениях.
Как произошел взлом и что он выявил
Betterment сообщил, что неавторизованный человек получил доступ к определенным системам компании 9 января, выдавая себя за легитимных пользователей и эксплуатируя доверительные рабочие процессы. Вместо взлома основной технической инфраструктуры злоумышленник использовал тактики социальной инженерии против сторонних программных платформ, поддерживающих маркетинг и операционные функции.
Этот доступ позволил злоумышленнику просматривать и извлекать контактные данные клиентов. По словам компании, раскрытые данные в основном включали имена и адреса электронной почты, хотя в некоторых случаях — физические адреса, номера телефонов и даты рождения. Общее число затронутых клиентов не разглашается.
Используя полученный доступ, злоумышленник распространил мошенническое сообщение, которое выглядело как исходящее от Betterment. В уведомлении предлагалась фальшивая криптовалютная возможность, утверждая, что пользователи могут утроить стоимость своих активов, отправив $10,000 на кошелек, контролируемый злоумышленником. Сообщение было отправлено ограниченной группе клиентов, чьи контактные данные были доступны через взломанные системы.
Betterment заявил, что обнаружил несанкционированную активность в тот же день и немедленно отозвал доступ к затронутым платформам. Было начато внутреннее расследование при поддержке кибербезопасной компании CrowdStrike, чтобы определить масштаб вторжения и проверить, не подвергались ли риску аккаунты или учетные данные клиентов.
Последующий судебный анализ не выявил доказательств того, что злоумышленник получил доступ к аккаунтам клиентов Betterment, паролям или учетным данным для входа. Компания подчеркнула, что многоуровневая система безопасности защищает системы на уровне аккаунтов, и взлом ограничился контактными данными и инструментами коммуникации.
В последующие дни после инцидента Betterment связалась с клиентами, получившими мошенническое сообщение, и рекомендовала игнорировать его. Компания повторила, что никогда не запрашивает пароли или конфиденциальную личную информацию по электронной почте, SMS или телефону.
Инцидент с безопасностью совпал с дополнительными сбоями в середине января. 13 января Betterment столкнулась с прерывистыми сбоями в работе сайта и мобильного приложения, вызванными распределенной атакой отказа в обслуживании (DDoS). Компания восстановила частичное обслуживание примерно через час и полностью — позже в тот же день, заявив, что DDoS-атака не скомпрометировала безопасность аккаунтов.
К началу февраля Betterment предоставила дополнительные обновления по расследованию. Компания подтвердила, что хотя некоторые данные клиентов были получены, влияние на конфиденциальность ограничилось контактной информацией. Был привлечен независимый аналитический фирменный специалист для проверки всех полученных данных, включая информацию, которую группа, заявляющая о причастности к взлому, утверждала, что разместила в сети.
Betterment также отметила, что планирует опубликовать полный отчет о расследовании в течение 60 дней. Параллельно компания заявила, что усиливает контроль и программы обучения для лучшей защиты от попыток социальной инженерии, которые основаны на обмане, а не на технических уязвимостях.
Один аспект раскрытия вызвал внимание специалистов по безопасности. На момент публикации страница инцидента Betterment содержала директиву “noindex” в исходном коде, которая инструктирует поисковые системы не индексировать страницу. Хотя такие теги иногда используют во время активных расследований, они могут усложнить клиентам и общественности поиск информации о взломах через веб-обзоры.
Инцидент отражает более широкую тенденцию в секторах финтеха и криптовалют, где злоумышленники все чаще нацеливаются на доверенные каналы коммуникации вместо основных систем. По мере интеграции все большего числа сторонних инструментов для управления взаимоотношениями с клиентами, маркетинговыми кампаниями и операционными процессами, поверхность атаки расширяется за пределы традиционных сетевых защит.
Для Betterment этот случай пока не привел к подтвержденным финансовым потерям или захвату аккаунтов. Тем не менее, он показывает, как быстро доверие может быть поставлено под угрозу, когда злоумышленники успешно выдают себя за известную финансовую платформу. Предстоящий отчет о расследовании, скорее всего, даст дополнительное понимание того, как произошел взлом и какие меры будут предприняты для снижения риска подобных атак в будущем.
Эта статья изначально публиковалась как Betterment Confirms Data Breach After Crypto Phishing Attack на Crypto Breaking News — вашем надежном источнике новостей о криптовалютах, Bitcoin и блокчейне.
