Η Zack Investment Research (Zacks) φέρεται να έχει υποστεί μια παλιά μη δημοσιοποιημένη παραβίαση δεδομένων που επηρεάζει 8,8 εκατομμύρια πελάτες, με τη βάση δεδομένων να κοινοποιείται τώρα σε ένα hacking forum.
Η εταιρεία αποκάλυψε μια παραβίαση δεδομένων που συνέβη μεταξύ Νοεμβρίου 2021 και Αυγούστου 2022, προειδοποιώντας ότι μη εξουσιοδοτημένοι εισβολείς στο δίκτυο είχαν αποκτήσει πρόσβαση στις προσωπικές και ευαίσθητες πληροφορίες περίπου 820.000 πελατών.
“Δεν έχουμε κανένα λόγο να πιστεύουμε ότι αποκτήθηκε πρόσβαση σε οποιαδήποτε πληροφορία πιστωτικής κάρτας πελάτη, σε οποιαδήποτε άλλη οικονομική πληροφορία πελάτη ή σε οποιαδήποτε άλλη προσωπική πληροφορία πελάτη”, ανέφερε τότε η ανακοίνωση της Zacks.
Ωστόσο, η υπηρεσία κοινοποίησης παραβιάσεων δεδομένων Have I Been Pwned (HIBP) ανέφερε μια πρόσθετη παραβίαση της Zacks αυτό το Σαββατοκύριακο, αφού τους εστάλη μια βάση δεδομένων που περιείχε 8,8 εκατομμύρια εγγραφές χρηστών.
Ο δημιουργός της HIBP, Troy Hunt, δήλωσε στο BleepingComputer ότι αυτή η βάση δεδομένων φαίνεται να έχει γίνει dump γύρω στις 10 Μαΐου 2020, πριν από την προηγούμενη παραβίαση της Zacks.
Ο Hunt δήλωσε στο BleepingComputer ότι η βάση δεδομένων περιέχει διευθύνσεις ηλεκτρονικού ταχυδρομείου των πελατών της Zacks, ονόματα χρηστών, unsalted SHA256 κωδικούς πρόσβασης, διευθύνσεις, αριθμούς τηλεφώνου, ονόματα και επώνυμα, καθώς και άλλα δεδομένα.
Οικονομικές πληροφορίες, όπως στοιχεία πιστωτικών καρτών και τραπεζικών λογαριασμών, δεν περιλαμβάνονται στο dump και δεν φαίνεται ότι οι χάκερ είχαν πρόσβαση σε αυτού του είδους τα δεδομένα.
Δυστυχώς, η Zack είχε προηγουμένως ξεκινήσει μια διαδικασία επαναφοράς κωδικού πρόσβασης για την παραβίαση που αποκαλύφθηκε τον Ιανουάριο- ωστόσο, μπορεί να υποτεθεί ότι το υπόλοιπο 90% των παραβιασμένων λογαριασμών που δεν αναγνωρίστηκαν ως τέτοιοι δεν συμπεριλήφθηκαν σε αυτό το μέτρο, αφήνοντάς τους εκτεθειμένους σε account hijacking, credential stuffing και SIM swapping.
Οι χρήστες του Have I Been Pwned μπορούν τώρα να εισάγουν το email τους στον ιστότοπο και να ειδοποιηθούν εάν αυτή βρεθεί στα δεδομένα που διέρρευσαν πρόσφατα από την Zacks.
Δεδομένα Zacks που κοινοποιούνται στο hacking forum
Αμέσως μετά την προσθήκη της παραβίασης δεδομένων στο Have I Been Pwned, η βάση δεδομένων της Zacks δημοσιεύτηκε στο hacking forum Exposed – ένας ιστότοπος που χρησιμοποιείται για την ανταλλαγή και την πώληση κλεμμένων δεδομένων.
Το Exposed είναι ένα νέο hacking forum που εμφανίστηκε πρόσφατα και απέκτησε φήμη μετά τη διαρροή μιας βάσης δεδομένων που περιείχε τα στοιχεία σχεδόν μισού εκατομμυρίου μελών του πλέον καταργημένου RaidForums.
Τώρα που η βάση δεδομένων έχει διαρρεύσει δημοσίως, οι απειλητικοί φορείς θα την καταχραστούν πιθανότατα σε επιθέσεις phishing ή credential-stuffing.
Ως εκ τούτου, συνιστάται σε όλους τους χρήστες της Zacks να αλλάξουν τους κωδικούς τους σε μοναδικούς που χρησιμοποιούνται μόνο στον συγκεκριμένο ιστότοπο.
Εάν χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης Zacks σε άλλους ιστότοπους, θα πρέπει να αλλάξετε και τους κωδικούς πρόσβασης σε αυτούς τους ιστότοπους σε έναν μοναδικό.
Πηγή πληροφοριών: bleepingcomputer.com
 φέρεται να έχει υποστεί μια παλιά μη δημοσιοποιημένη παραβίαση δεδομένων που επηρεάζει...){kind=link}