Bleeping Computer 網(wǎng)站披露����,Zacks Investment Research (Zacks)遭遇了此前未公開披露的數(shù)據(jù)泄露事件,影響約 880 萬客戶�。
值得一提的是,2021 年 11 月至 2022 年 8 月期間��,Zacks 曾發(fā)生過數(shù)據(jù)泄露事件����,未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者”訪問“了約 82 萬名客戶的個(gè)人敏感信息����,但 Zack 在當(dāng)時(shí)通報(bào)中聲稱沒有理由相信任何客戶信用卡信息�����、任何其他客戶財(cái)務(wù)信息或任何其他客戶的個(gè)人信息被訪問����。
Zacks大量數(shù)據(jù)信息泄露
數(shù)據(jù)泄露查詢網(wǎng)站 Have I Been Pwned(HIBP)在收到包含 880 萬條用戶記錄的數(shù)據(jù)庫后��,于上周末列出了一個(gè)新的 Zacks 泄露事件���。
【資料圖】
HIBP 的創(chuàng)建者 Troy Hunt 告訴 Bleeping Computer,這個(gè)數(shù)據(jù)庫似乎是在 2020 年 5 月 10 日左右被”丟棄“的����,(比第一次披露的82萬客戶信息泄露還要早�。)比 Zacks 之前的漏洞要早。此外�����,Hunt指出泄露的數(shù)據(jù)庫包含了 Zacks 客戶的電子郵件地址����、用戶名、未加鹽的 SHA256 密碼���、地址、電話號(hào)碼����、名字和姓氏以及其他數(shù)據(jù)信息���。
Zacks 在 HIBP 上的最新數(shù)據(jù)泄漏通知
據(jù)悉�,網(wǎng)絡(luò)攻擊者沒有”訪問“信用卡和銀行賬戶等財(cái)務(wù)信息���,不幸的是����,Zacks 此前已經(jīng)為 1 月份披露的漏洞啟動(dòng)了密碼重置程序�����,但 90% 沒有被確認(rèn)為漏洞的賬戶沒有被納入該措施�����,因此致使其面臨賬戶劫持����、憑據(jù)填充和 SIM 卡交換的安全風(fēng)險(xiǎn)�����。
目前�����,Zacks 方面還沒有正面回答 BleepingComputer 的問題�����,Hunt 表示 Zacks 計(jì)劃通知受影響的用戶����,但何時(shí)通知還沒有時(shí)間表。
黑客論壇上出現(xiàn)了 Zacks 數(shù)據(jù)
在將數(shù)據(jù)泄露添加到 Have I Been Pwned 不久����,Zacks 數(shù)據(jù)庫就被發(fā)布在了 Exposed 黑客論壇上���。(該論壇是一個(gè)用于共享和出售被盜數(shù)據(jù)的網(wǎng)站,因泄露包含現(xiàn)已解散的 RaidForums 近 50 萬成員詳細(xì)信息的數(shù)據(jù)庫而臭名昭著)��。
威脅攻擊者在 Exposed 論壇上發(fā)布的帖子(來源: Bleeping Computer)
最后��,鑒于目前數(shù)據(jù)庫已被公開泄露�,威脅攻擊者可能會(huì)在網(wǎng)絡(luò)釣魚或憑據(jù)填充攻擊中濫用該數(shù)據(jù)庫����。 因此�����,強(qiáng)烈建議所有 Zacks 用戶將密碼更改為僅在該網(wǎng)站使用的唯一密碼�,如果在其他網(wǎng)站使用相同的Zacks 密碼��,建議立刻修改密碼。
文章來源:https://www.bleepingcomputer.com/news/security/have-i-been-pwned-warns-of-new-zacks-data-breach-impacting-8-million/
