Взлом базы данных инвестиционной компании Zacks: под угрозой 12 миллионов клиентов
1 минута чтение
В последние годы финансовый сектор стал одной из самых уязвимых сфер, когда речь идет о киберугрозах, опережая даже здравоохранение. Взломы и кибератаки на финансовые учреждения, включая банки, финтех-компании и инвестиционные исследовательские фирмы, становятся все более распространенными.
Хакерская атака на Zacks: факты и последствия
Недавний случай касается Zacks, американской инвестиционной исследовательской компании, которая сообщила о краже личных данных 12 миллионов клиентов. Хакер по имени «Jurak» изначально утверждал, что украл 15 миллионов записей, однако последующее расследование подтвердило меньшую цифру.
Взлом был впервые раскрыт в конце января 2025 года, когда «Jurak» заявил на форуме BreachForums, что получил доступ к системам Zacks еще в июне 2024 года. Он заявил, что ему удалось получить права администратора домена для активного каталога Zacks, что позволило ему украсть исходный код сайта Zacks.com и еще 16 других сайтов, включая внутренние инструменты и данные учетных записей пользователей. Эти данные затем были выставлены на продажу на хакерских форумах.
Проблемы с безопасностью: что было украдено
Расследование подтвердило, что утечка произошла в июне 2024 года, что подвергло риску 12 миллионов уникальных адресов электронной почты и другую личную информацию. То, что злоумышленник смог получить доступ к правам администратора домена, указывает на высокую степень сложности атаки, вероятно, связанной с уязвимостями в сетевой безопасности Zacks.
Это не первый случай утечки данных в Zacks. В 2022 году компания также подвергалась атаке, в результате которой были скомпрометированы данные более старого продукта Zacks Elite, охватывающего период с 1999 по 2005 годы.
Утечка данных и ее последствия
По данным Have I Been Pwned (HIBP), утечка данных Zacks затронула множество чувствительной информации пользователей, ставя их под угрозу. Утечка включает адреса электронной почты, IP-адреса, имена, номера телефонов, физические адреса, имена пользователей и хэшированные пароли.
Такого рода информация может быть использована для фишинга, кражи личных данных, подбора учетных записей и даже физических угроз. Учитывая, что 93% утекших адресов электронной почты уже были скомпрометированы в предыдущих утечках, проблема повторного использования паролей становится еще более актуальной. Использование устаревших хэш-функций, таких как unsalted SHA-256, только увеличивает риск, облегчая хакерам взлом паролей и доступ к аккаунтам.
Отсутствие официальных заявлений от Zacks
Несмотря на серьезность ситуации, на момент февраля 2025 года Zacks Investment Research не выпустила официального заявления. Отсутствие прозрачности вызывает беспокойство, особенно учитывая масштабы утечки и историю компании в области безопасности.
Что делать после утечки данных?
Поскольку угроза кибератак для финансовых учреждений становится все более реальной, важно знать, как защитить себя. Вот несколько советов:
1. Будьте осторожны с фишингом и используйте надежное антивирусное ПО. После утечки данных мошенники могут использовать украденные данные для создания убедительных фишинг-сообщений.
2. Инвестируйте в защиту от кражи личности. Услуги по мониторингу финансовых аккаунтов могут помочь обнаружить мошеннические действия на ранних стадиях.
3. Включите двухфакторную аутентификацию на своих аккаунтах. Это добавляет дополнительный уровень защиты даже в случае компрометации ваших учетных данных.
4. Обновите пароли. Замените пароли на всех затронутых аккаунтах и используйте уникальные и сложные пароли.
5. Удалите свои личные данные из публичных баз данных. Это поможет снизить риск кражи личности и мошенничества.
Задумайтесь о будущем безопасности
Утечка данных Zacks подчеркивает реальность киберугроз для финансовых учреждений. С миллионами пользователей, оказавшимися под угрозой, риски мошенничества и кражи личности возрастают. Важно оставаться бдительными и следить за своей онлайн-безопасностью, используя уникальные пароли и внимательно отслеживая свои аккаунты.
Вы считаете, что компании должны более строго следить за раскрытием утечек и защитой данных клиентов? Поделитесь своим мнением!
