Zacks Investment Research (Zacks) aurait subi une violation de données plus ancienne, auparavant non divulguée, affectant 8,8 millions de clients, la base de données étant désormais partagée sur un forum de piratage.
La société avait précédemment divulgué une violation de données survenue entre novembre 2021 et août 2022, avertissant que des intrus non autorisés sur le réseau avaient accédé aux informations personnelles et sensibles d’environ 820 000 clients.
« Nous n’avons aucune raison de croire que les informations de carte de crédit du client, toute autre information financière du client ou toute autre information personnelle du client ont été consultées », mentionnait la notification de Zacks à l’époque.
Cependant, le service de notification de violation de données Have I Been Pwned (HIBP) a répertorié une autre violation de Zacks ce week-end après avoir reçu une base de données contenant 8,8 millions d’enregistrements d’utilisateurs.
Le créateur de HIBP, Troy Hunt, a déclaré à Breachtrace que cette base de données semble avoir été vidée vers le 10 mai 2020, avant la précédente brèche chez Zacks.
Hunt a déclaré à Breachtrace que la base de données contient les adresses e-mail, les noms d’utilisateur, les mots de passe SHA256 non salés, les adresses, les numéros de téléphone, les prénoms et les noms et d’autres données des clients de Zacks.
Les informations financières telles que les détails de la carte de crédit et du compte bancaire ne sont pas incluses dans le vidage, et il ne semble pas que les pirates aient accédé à ce type de données.
Malheureusement, Zacks avait précédemment lancé une procédure de réinitialisation de mot de passe pour la violation divulguée en janvier, mais on peut supposer que les 90 % restants des comptes piratés qui n’ont pas été identifiés comme tels n’ont pas été inclus dans la mesure, les laissant exposés au piratage de compte. , credential stuffing et SIM swapping.
Bien que Zacks n’ait pas répondu aux questions de Breachtrace , Hunt nous a dit que Zacks prévoyait de notifier les utilisateurs concernés, mais il n’y a pas de calendrier pour le moment où cela sera fait.
Les utilisateurs de Have I Been Pwned peuvent désormais entrer leur adresse e-mail sur le site et être avertis si elle a été trouvée dans les données Zacks nouvellement divulguées.
Données Zacks partagées sur le forum de piratage
Peu de temps après avoir ajouté la violation de données à Have I Been Pwned, la base de données Zacks a été publiée sur le forum de piratage Exposed, un site utilisé pour partager et vendre des données volées.
Exposed est un nouveau forum de piratage récemment apparu qui a gagné en notoriété après avoir divulgué une base de données contenant les détails de près d’un demi-million de membres des RaidForums, aujourd’hui disparus.
Maintenant que la base de données a été divulguée publiquement, les acteurs de la menace en abuseront probablement dans des attaques de phishing ou de bourrage d’informations d’identification.
Par conséquent, il est fortement conseillé à tous les utilisateurs de Zacks de changer leurs mots de passe pour des mots de passe uniques utilisés uniquement sur ce site.
Si vous utilisez le même mot de passe Zacks sur d’autres sites, vous devez également remplacer les mots de passe de ces sites par un mot de passe unique.