Zacks Investment Research ha confermato un importante violazione dei dati in cui sono state rubate password crittografate da un numero non specificato di clienti. La violazione, collegata a un precedente attacco informatico, è stata esposta dal sito di notifiche di violazioni Have I Been Pwned? (HIBP). È stato riportato che i dati relativi a quasi 9 milioni di clienti Zacks.com stanno circolando su un forum di hacking. I dati esposti includono nomi, nomi utente, indirizzi email e fisici, numeri di telefono e password con hash SHA-256 non salate. Il numero esatto di clienti colpiti rimane incerto. Tuttavia, Zacks ha affermato che non ci sono indicazioni che le informazioni finanziarie o delle carte di credito dei clienti siano state accessibili.
L’entità della violazione è stimata in 8,9 milioni e i dati compromessi risalgono a maggio 2020. Secondo HIBP, una precedente violazione dei dati a dicembre 2022 ha colpito 820 mila clienti e entro giugno 2023, i dati relativi a quasi 9 milioni di clienti erano ampiamente diffusi su un forum di hacking.
Zacks si è impegnata a prendere provvedimenti per migliorare la sicurezza delle password e si rammarica per qualsiasi inconveniente causato ai suoi clienti. I dati rubati comprendevano password archiviate come hash SHA-256 non salate. Sebbene questo metodo di protezione dei dati soddisfi gli standard del settore, la violazione di Zacks illustra la sua potenziale vulnerabilità, soprattutto poiché le password non erano salate ma con hash, rendendole suscettibili a sofisticate tecniche di bypass utilizzate dai hacker.
Source: www.scmagazine.com
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.