Zacks Investment Research(以下简称 Zacks)是一家美国投资研究公司,通过其专有的股票表现评估工具“Zacks Rank”为客户提供数据驱动的洞察,以帮助做出明智的财务决策。据报道,Zacks 去年遭受了另一起数据泄露事件,导致约 1200 万个账户的敏感信息被曝光。
今年 1 月底,一名威胁行为者在黑客论坛上发布了数据样本,声称 Zacks 在 2024 年 6 月发生了数据泄露,导致数百万客户的数据被曝光。这些数据可供论坛成员以少量加密货币换取,包含全名、用户名、电子邮件地址、物理地址和电话号码。
BleepingComputer 多次联系 Zacks 询问数据的真实性,但尚未收到回复。然而,该威胁行为者告诉 BleepingComputer,他们以域管理员身份访问了公司的活动目录,然后窃取了主网站(Zacks.com)和其他 16 个网站的源代码,包括一些内部网站。他们还分享了窃取的源代码样本作为新漏洞的证明。
今天早些时候,泄露的 Zacks 数据库被添加到“Have I Been Pwned”网站,用户可以在此检查他们的个人数据是否被泄露。HIBP 确认该文件包含 1200 万个唯一的电子邮件地址,以及 IP 地址、姓名、未加盐的 SHA-256 哈希密码、电话号码、物理地址和用户名。
然而,该服务也指出,大约 93% 的泄露电子邮件地址已经存在于其数据库中,这些地址来自过去对该平台或其他服务的泄露。
无官方确认
Zacks 尚未确认所谓的数据泄露,但如果数据泄露被证明是新黑客攻击的结果,这可能是该公司过去四年中的第三次重大数据泄露。
2023 年 1 月,Zacks 披露黑客在 2021 年 11 月至 2022 年 8 月期间侵入了其网络,并获取了 82 万名客户的敏感信息。
几个月后,2023 年 6 月,HIBP 验证了一个来自 Zacks 的独立数据库,该数据库之前已被泄露。该数据库包含使用 Zacks 服务的 880 万名个人的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。
根据 HIBP 服务的创建者 Troy Hunt 的说法,这些数据似乎在 2020 年 5 月被泄露,表明这是一起较早的事件。
尽管尚未得到官方验证,但 HIBP 在将其添加到服务之前已经验证了最新的 Zacks 客户数据泄露,并且有非常高的信心认为它来自一起新事件。需要注意的是,也有可能是威胁行为者从其他服务抓取了这些信息,并编制了一个与 Zacks 相关的用户信息数据库。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容