De Amerikaanse beleggingsapp Robinhood heeft een datalek, waarbij de gegevens van miljoenen klanten werden gestolen, en andere overtredingen voor een bedrag van 45 miljoen dollar met de Amerikaanse beurswaakhond SEC geschikt. De SEC startte een onderzoek naar vermeende overtredingen van Robinhood. Volgens de beurswaahond had Robinhood van april 2019 tot en met juli 2022 geen adequaat beleid en procedures geïmplementeerd om klanten tegen het risico van identiteitsdiefstal te beschermen.

De financiële instelling bleek ook elektronische communicatie niet goed te archiveren, zoals het wettelijk verplicht is. Zo maakten medewerkers gebruik van ongeautoriseerde chatapps zoals WhatsApp. Ook werd een deel van de communicatie met aandelenklanten niet bewaard. Daarnaast kreeg Robinhood in 2021 met een groot datalek te maken waarbij de gegevens van zeven miljoen klanten werden gestolen. De SEC stelt dat de aanvaller van juni 2021 tot november 2021 toegang tot systemen van de financiële instelling had.

Volgens de SEC had Robinhood bekende risico's als gevolg van een kwetsbaarheid in de remote toegang tot de systemen niet adequaat verholpen. Om wat voor soort kwetsbaarheid het gaat laat de beurswaakhond niet weten. Vervolgens wist de aanvaller begin november 2021 de gegevens van miljoenen klanten te stelen. Robinhood heeft besloten de beschuldigingen van de SEC voor in totaal 45 miljoen dollar te schikken.