Zacks Investment Research confirmó una importante violación de datos en la que se robaron contraseñas encriptadas de un número no especificado de clientes. La violación, vinculada a un hackeo previo, fue expuesta por el sitio de notificación de brechas Have I Been Pwned? (HIBP). Se informó que los datos relacionados con casi 9 millones de clientes de Zacks.com están circulando en un foro de hackers. Los datos expuestos incluyen nombres, nombres de usuario, direcciones de correo electrónico y físicas, números de teléfono y contraseñas hash sin sal SHA-256. El número exacto de clientes afectados sigue siendo incierto. Sin embargo, Zacks afirmó que no hay indicación de que se haya accedido a la tarjeta de crédito del cliente u otra información financiera.
Se estima que el alcance de la violación es de 8.9 millones y los datos comprometidos datan de mayo de 2020. Según HIBP, una violación de datos previa en diciembre de 2022 afectó a 820k clientes y para junio de 2023, los datos relacionados con casi 9M clientes se estaban circulando ampliamente en un foro de hackers.
Zacks se ha comprometido a tomar medidas para mejorar la seguridad de las contraseñas y lamenta cualquier inconveniente para sus clientes. Los datos robados comprendían contraseñas almacenadas como hashes SHA-256 sin sal. Si bien este método de protección de datos cumple con los estándares de la industria, la violación de Zacks ilustra su potencial vulnerabilidad, especialmente dado que las contraseñas no estaban salteadas sino hasheadas, lo que las hace susceptibles a técnicas de evasión sofisticadas utilizadas por hackers.
Source: www.scmagazine.com
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.