Zacks Investment Research ha confirmat una gran violació de dades en la qual es van robar contrasenyes encriptades d’un nombre no especificat de clients. La violació, vinculada a un atac anterior, va ser exposada pel lloc de notificació de violacions Have I Been Pwned? (HIBP). Es va informar que les dades relacionades amb gairebé 9 milions de clients de Zacks.com estan circulant en un fòrum de hackers. Les dades exposades inclouen noms, noms d’usuari, adreces de correu electrònic i físiques, números de telèfon i contrasenyes sense sal SHA-256. El nombre exacte de clients afectats encara no està clar. No obstant això, Zacks ha afirmat que no hi ha indicacions que s’hagi accedit a la informació financera o a la targeta de crèdit dels clients.
Es calcula que l’abast de la violació és de 8,9 milions i les dades compromeses es remunten a maig de 2020. Segons HIBP, una violació de dades anterior al desembre de 2022 va afectar a 820k clients i al juny de 2023, les dades relacionades amb gairebé 9M de clients es van començar a circular àmpliament en un fòrum de hackers.
Zacks s’ha compromès a prendre mesures per millorar la seguretat de les contrasenyes i lamenta qualsevol molèstia causada als seus clients. Les dades robades inclouen contrasenyes emmagatzemades com a hashes SHA-256 sense sal. Encara que aquest mètode de protecció de dades compleix amb els estàndards de la indústria, la violació de Zacks il·lustra la seva possible vulnerabilitat, especialment perquè les contrasenyes no estaven salades sinó hashed, fent-les susceptibles a tècniques d’elusió sofisticades utilitzades pels hackers.
Source: www.scmagazine.com
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.