Zacks Investment Research đã xác nhận một vụ vi phạm dữ liệu lớn trong đó mật khẩu được mã hóa đã bị đánh cắp từ một số lượng không xác định khách hàng. Vụ vi phạm này, liên quan đến một vụ hack trước đó, đã được tiết lộ bởi trang thông báo vi phạm Have I Been Pwned? (HIBP). Được báo cáo rằng dữ liệu liên quan đến gần 9 triệu khách hàng Zacks.com đang lưu hành trên một diễn đàn của hacker. Dữ liệu bị tiết lộ bao gồm tên, tên người dùng, địa chỉ email và địa chỉ thực, số điện thoại, và mật khẩu được mã hóa SHA-256 mà không có salt. Số lượng chính xác của khách hàng bị ảnh hưởng vẫn chưa rõ. Tuy nhiên, Zacks khẳng định rằng không có dấu hiệu nào cho thấy thông tin thẻ tín dụng của khách hàng hoặc thông tin tài chính khác đã bị truy cập.
Phạm vi của vụ vi phạm được ước tính là 8.9 triệu và dữ liệu bị xâm phạm có nguồn gốc từ tháng 5 năm 2020. Theo HIBP, một vụ vi phạm dữ liệu trước đó vào tháng 12 năm 2022 đã ảnh hưởng đến 820k khách hàng và vào tháng 6 năm 2023, dữ liệu liên quan đến gần 9 triệu khách hàng đã được phân phối rộng rãi trên một diễn đàn của hacker.
Zacks đã cam kết thực hiện các bước để tăng cường bảo mật mật khẩu và lấy làm tiếc về bất kỳ sự bất tiện nào đối với khách hàng của mình. Dữ liệu bị đánh cắp bao gồm các mật khẩu được lưu trữ dưới dạng mã hash SHA-256 mà không có salt. Mặc dù phương pháp bảo vệ dữ liệu này đáp ứng các tiêu chuẩn của ngành công nghiệp, vụ vi phạm của Zacks đã minh họa sự dễ bị tổn thương tiềm năng của nó, đặc biệt là vì các mật khẩu không được salt mà chỉ được hash, làm cho chúng dễ bị những kỹ thuật bypass tinh vi mà hacker sử dụng.
Source: www.scmagazine.com
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.