Bleeping Computer 網(wǎng)站披露，Zacks Investment Research (Zacks)遭遇了此前未公開披露的數(shù)據(jù)泄露事件，影響約 880 萬客戶。

值得一提的是，2021 年 11 月至 2022 年 8 月期間，Zacks 曾發(fā)生過數(shù)據(jù)泄露事件，未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊者”訪問“了約 82 萬名客戶的個人敏感信息，但 Zack 在當(dāng)時通報中聲稱沒有理由相信任何客戶信用卡信息、任何其他客戶財務(wù)信息或任何其他客戶的個人信息被訪問。

Zacks 大量數(shù)據(jù)信息泄露

數(shù)據(jù)泄露查詢網(wǎng)站 Have I Been Pwned（HIBP）在收到包含 880 萬條用戶記錄的數(shù)據(jù)庫后，于上周末列出了一個新的 Zacks 泄露事件。

HIBP 的創(chuàng)建者 Troy Hunt 告訴 Bleeping Computer，這個數(shù)據(jù)庫似乎是在 2020 年 5 月 10 日左右被”丟棄“的，（比第一次披露的82萬客戶信息泄露還要早。）比 Zacks 之前的漏洞要早。此外，Hunt指出泄露的數(shù)據(jù)庫包含了 Zacks 客戶的電子郵件地址、用戶名、未加鹽的 SHA256 密碼、地址、電話號碼、名字和姓氏以及其他數(shù)據(jù)信息。

Zacks 在 HIBP 上的最新數(shù)據(jù)泄漏通知

據(jù)悉，網(wǎng)絡(luò)攻擊者沒有”訪問“信用卡和銀行賬戶等財務(wù)信息，不幸的是，Zacks 此前已經(jīng)為 1 月份披露的漏洞啟動了密碼重置程序，但 90% 沒有被確認(rèn)為漏洞的賬戶沒有被納入該措施，因此致使其面臨賬戶劫持、憑據(jù)填充和 SIM 卡交換的安全風(fēng)險。

目前，Zacks 方面還沒有正面回答 BleepingComputer 的問題，Hunt 表示 Zacks 計劃通知受影響的用戶，但何時通知還沒有時間表。

黑客論壇上出現(xiàn)了 Zacks 數(shù)據(jù)

在將數(shù)據(jù)泄露添加到 Have I Been Pwned 不久，Zacks 數(shù)據(jù)庫就被發(fā)布在了 Exposed 黑客論壇上。（該論壇是一個用于共享和出售被盜數(shù)據(jù)的網(wǎng)站，因泄露包含現(xiàn)已解散的 RaidForums 近 50 萬成員詳細(xì)信息的數(shù)據(jù)庫而臭名昭著）。

威脅攻擊者在 Exposed 論壇上發(fā)布的帖子（來源： Bleeping Computer）

最后，鑒于目前數(shù)據(jù)庫已被公開泄露，威脅攻擊者可能會在網(wǎng)絡(luò)釣魚或憑據(jù)填充攻擊中濫用該數(shù)據(jù)庫。 因此，強烈建議所有 Zacks 用戶將密碼更改為僅在該網(wǎng)站使用的唯一密碼，如果在其他網(wǎng)站使用相同的Zacks 密碼，建議立刻修改密碼。

文章來源：https://www.bleepingcomputer.com/news/security/have-i-been-pwned-warns-of-new-zacks-data-breach-impacting-8-million/