На популярном хакерском форуме появились данные около 9 млн клиентов американской компании Zacks Investment Research. Пострадавшая фирма утверждает, что хакеры украли эту информацию в 2022 году.
Zacks Investment Research — инвестиционно-исследовательская компания, которая специализируется на анализе биржевых котировок и выдаче рекомендаций инвесторам. О сливе данных Zacks в Сеть сообщил сервис мониторинга утекшей информации Have I Been Pwned? (HIBP). По его сведениям, злоумышленники разместили в интернете такие данные, как имена, адреса, номера телефонов, адреса электронной почты, имена пользователей, а также пароли, хэшированные без криптографической соли с помощью алгоритма SHA-256. Представители Zacks попытались преуменьшить значение инцидента, заявив HIBP, что хакеры получили доступ к зашифрованным паролям.
Об утечке персональных данных своих пользователей в Zacks заявили в начале 2023 г. Тогда представители компании сообщали, что инцидент информационной безопасности затронул около 820 тыс. клиентов. Вторжение хакеров выявили в конце 2022 года. Компания Zacks полагает, что несанкционированный доступ к ее ресурсам произошел в период с ноября 2021 г. по август 2022 г.
Согласно уведомлению пострадавшей компании, хакеры взломали старую базу данных, в которой хранились сведения клиентов, подписавшихся на услугу Zacks Elite с ноября 1999 г. по февраль 2005 г. Однако, последняя запись из утекшей базы датирована маем 2020 г., подчеркивают в сервисе HIBP.
Таким образом, масштаб утечки данных из Zacks Investment Research оказался примерно в десять раз больше, чем оценивала компания.
Пострадавшие клиенты должны поменять пароли ко всем аккаунтам, в которых использованы те же учетные данные, что и к сервису Zacks. Кроме того, клиентам рекомендуется следить за операциями по своим финансовым счетам и отчетами о потребительском кредитовании.
Источник: Security Affairs.