据报道,扎克斯投资研究公司(Zacks Investment Research,简称 Zacks)去年再次遭遇数据泄露事件,约 1200 万个账户的相关敏感信息被泄露。
扎克斯是一家美国投资研究公司,它通过一款名为 “扎克斯评级(Zacks Rank)” 的专有股票表现评估工具,为客户提供基于数据的洞察分析,以帮助客户做出明智的财务决策。
今年 1 月下旬,一名威胁行为者在一个黑客论坛上发布了数据样本,声称在 2024 年 6 月对扎克斯公司发动了攻击,导致数百万客户的数据被泄露。
这些发布的数据可供论坛成员获取,只需支付少量加密货币即可。数据内容包括全名、用户名、电子邮件地址、实际地址和电话号码。
威胁行为者在 “数据泄露论坛(BreachForums)” 上的帖子
来源:BleepingComputer)
BleepingComputer多次联系扎克斯公司,询问这些数据的真实性,但尚未收到回复。
然而,该威胁行为者告诉 BleepingComputer,他们以域管理员的身份访问了该公司的活动目录,然后窃取了主网站(Zacks.com)以及包括一些内部网站在内的其他 16 个网站的源代码。他们还分享了所窃取的源代码样本,以此作为这次新的数据泄露事件的证据。
今天早些时候,被泄露的扎克斯公司数据库被添加到了 “我是否已遭泄露(Have I Been Pwned,简称 HIBP)” 网站上,用户可以在该网站上查询自己的个人数据是否已被泄露。
HIBP 证实,该文件包含 1200 万个唯一的电子邮件地址,以及 IP 地址、姓名、未加盐的 SHA-256 哈希形式的密码、电话号码、实际地址和用户名。
不过,该服务也指出,大约 93% 的被泄露电子邮件地址已经存在于其数据库中,这些地址此前在该平台或其他服务的数据泄露事件中已被泄露过。
尚无官方确认
扎克斯公司尚未确认这起所谓的数据泄露事件,但如果事实证明这次数据泄露是一次新的黑客攻击导致的,那么这可能是该公司在过去四年里遭遇的第三起重大数据泄露事件。
2023 年 1 月,扎克斯公司披露,黑客在 2021 年 11 月至 2022 年 8 月期间侵入了其网络,并获取了 82 万名客户的敏感信息。
几个月后的 2023 年 6 月,HIBP 验证了另一个源自扎克斯公司的数据库,该数据库此前已被泄露。
该数据库包含了 880 万名使用扎克斯公司服务的用户的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。
据 HIBP 服务的创建者特洛伊・亨特(Troy Hunt)称,这些数据似乎是在 2020 年 5 月被泄露的,这表明它是一起更早发生的事件的结果。
扎克斯公司客户数据的这次最新泄露事件,虽然尚未得到官方证实,但在被添加到 HIBP 服务之前已经过该平台的验证,而且有很大把握认为这些数据来自一起新的事件。
需要注意的是,也存在一种可能性,即威胁行为者从其他服务中抓取信息,并汇编成了一个包含与扎克斯公司相关用户信息的数据库。
发表评论
您还未登录,请先登录。
登录