2023年6月12日,据报道Zacks Investment Research (Zacks)
遭遇了一起较早的、此前未披露的数据泄露事件,影响了880万客户,该数据库现已在黑客论坛上分享。Zacks Investment
Research创立于1978年,是一家位于芝加哥的研究及资金管理公司,专为机构投资者提供用于预测美国公司股价的定量模型。多年来,随着公司产品线的逐步扩张,公司现也向个人投资者提供各类投资相关的信息服务和软件工具。
该公司此前曾披露过一起发生在2021年11月至2022年8月期间的数据泄露事件,未经授权的网络攻击者”访问“了约
82万名客户的个人敏感信息,但Zack在当时通报中声称没有理由相信任何客户信用卡信息、任何其他客户财务信息或任何其他客户的个人信息被访问。数据泄露查询网站 Have I Been Pwned(HIBP)在收到包含880万条用户记录的数据库后,于上周末列出了一个新的
Zacks泄露事件。HIBP的创建者Troy Hunt告诉Bleeping
Computer,这个数据库似乎是在2020年5月10日左右被”丢弃“的,(比第一次披露的82万客户信息泄露还要早。)比Zacks之前的漏洞要早。此外,Hunt指出泄露的数据库包含了Zacks客户的电子邮件地址、用户名、未加盐的SHA256密码、地址、电话号码、名字和姓氏以及其他数据信息。据悉,网络攻击者没有”访问“信用卡和银行账户等财务信息,不幸的是,Zacks此前已经为1月份披露的漏洞启动了密码重置程序,但90%没有被确认为漏洞的账户没有被纳入该措施,因此致使其面临账户劫持、凭据填充和SIM卡交换的安全风险。目前,Zacks方面还没有正面回答BleepingComputer 的问题,Hunt表示Zacks计划通知受影响的用户,但何时通知还没有时间表。黑客论坛上出现了Zacks数据在将数据泄露添加到Have I Been
Pwned不久,Zacks数据库就被发布在了Exposed黑客论坛上。(该论坛是一个用于共享和出售被盗数据的网站,因泄露包含现已解散的RaidForums近50万成员详细信息的数据库而臭名昭著)。最后,鉴于目前数据库已被公开泄露,威胁攻击者可能会在网络钓鱼或凭据填充攻击中滥用该数据库。因此,强烈建议所有
Zacks用户将密码更改为仅在该网站使用的唯一密码,如果在其他网站使用相同的Zacks密码,建议立刻修改密码。相关阅读 黑客称本田官网现重大漏洞 可从中获取经销商及客户信息 因人工操作不当事业单位面试入围名单“泄露”?官方回应 日本制药巨头Eisai受勒索软件攻击 系统下线