Zacks Investment 泄露可能导致 1200 万客户账户暴露

快速阅读: 《ITProPortal》消息，据报道，投资研究公司Zacks Investment Research遭遇数据泄露，约1500万客户记录外泄。黑客Jurak在暗网论坛BreachForum上声称窃取了源代码及数据库。泄露信息包括用户名、电子邮件、密码、地址、全名和电话号码。此次事件已是Zacks第三次安全漏洞，累计受影响用户超过2100万。目前，Zacks尚未回应置评请求。

（图片来源：盖蒂图片社）据报道，领先的投資研究公司Zacks Investment Research遭遇了一次数据泄露，可能导致约1500万客户记录外泄。化名为Jurak的威胁行为者于2025年1月24日在暗网黑客论坛BreachForum上发布消息称，他们在去年六月入侵了Zacks Investment Research。Zacks是著名的金融分析提供商，以其用于评估股票表现的Zacks排名平台而闻名。帖子声称被盗信息包含源代码以及Zacks的数据库，“包含1500万条客户记录”。根据发布者提供的样本，这包括用户名、电子邮件、密码、地址、全名和电话号码。Jurak补充说，他们考虑过公开发布源代码，但最终决定不这样做，表示信誉良好的用户可以直接联系他们以请求源代码。

根据Have I Been Pwned的数据，被盗的客户信息据说影响了1200万个独特的电子邮件地址，声明被破坏的账户数量为11,994,223个。它指出，客户信息包括未加盐的SHA-256密码散列值，这引发了严重担忧，因为它们容易受到暴力破解方法的影响。获取ITPro每日新闻通讯，接收我们最新的新闻、行业更新、特色资源等。今天就注册，以获取我们的免费报告《2024年人工智能网络犯罪与安全》。

该威胁行为者在接受BleepingComputer采访时说，他们利用域管理员权限获得了对公司活动目录的访问权，并窃取了其主要域（zacks.com）以及其他16个网站的源代码。ITPro已联系Zacks Investment Research，但截至发稿时尚未收到回复。

此次事件标志着Zacks Investment Research第三次安全漏洞。在其宣布漏洞的帖子中，用户提到了2022年底发生的另一次漏洞，暴露了82万名客户的敏感信息。在承认这一事件的帖子中，该公司表示其团队发现未知行为者未经授权访问了客户记录。该公司最初表示，被曝光的客户信息仅限于1999年至2005年2月期间注册其Zacks Elite产品的用户。

然而，该公司后来澄清，在2023年6月的第二次漏洞中，攻击者能够访问“zacks.com”客户的加密密码，直到2020年5月。此数据库包含880万Zacks用户的全名、电子邮件、用户名、未加盐的SHA-256密码、地址和电话号码。这意味着在过去四年里，受影响的用户总数超过了2100万。

ITPro更多精彩内容

惠普在Midnight Blizzard漏洞后提醒受影响员工

Globe Life违规事件可能影响85万患者，公司修订受害者名单

TalkTalk确认正在进行数据泄露调查——但表示情况并不如所宣称的那么严重

索罗门·克拉普霍尔茨 工作人员作家

索罗门·克拉普霍尔茨是ITPro的工作人员作家。他有撰写关于促进工业制造的技术的经验，这使他对IT监管、工业基础设施应用和机器学习产生了特别的兴趣。

(以上内容均由Ai生成)