Únik dat z investiční firmy Zacks odhalil informace o 12 milionech zákazníků

Odvětví financí se stává stále častějším terčem kybernetických útoků a útoků ransomware. Nejnovějším případem je únik dat z americké investiční společnosti Zacks. Zprvu hacker s přezdívkou \"Jurak\" prohlásil, že ukradl 15 milionů záznamů, ale následné šetření potvrdilo 12 milionů unikátních záznamů.

Únik dat se poprvé objevil na konci ledna 2025, kdy Jurak na fóru BreachForums tvrdil, že se do systémů Zacks dostal již v červnu 2024. Získal prý práva správce domény pro aktivní adresář Zacks, což mu umožnilo odcizit zdrojový kód pro Zacks.com a dalších 16 webových stránek, včetně interních nástrojů, a také data uživatelských účtů. Odcizené informace byly následně nabízeny k prodeji na hackerských fórech, s ukázkami poskytovanými za malý poplatek v kryptoměnách, aby se prokázala jejich autenticita.

Vyšetřování potvrdilo, že k narušení zabezpečení došlo v červnu 2024, přičemž bylo odhaleno 12 milionů unikátních e-mailových adres a dalších osobních údajů. Získaný přístup správce domény naznačuje vysoce sofistikovaný útok, pravděpodobně využívající zranitelnosti v síťovém zabezpečení Zacks. Není to první únik dat, kterým Zacks trpěl; v roce 2022 došlo k útoku, který narušil starší databázi produktů Zacks Elite z let 1999 až 2005.

Únik dat z Zacks Investment Research, potvrzený službou Have I Been Pwned (HIBP), odhalil širokou škálu citlivých informací, včetně e-mailových adres, IP adres, jmen, telefonních čísel, fyzických adres, uživatelských jmen a heslech hašovaných pomocí zastaralého algoritmu SHA-256.

Tyto informace mohou být zneužity pro phishing, krádež identity, credential stuffing, obtěžování, SIM swapping a dokonce i fyzické hrozby. Znepokojivé je, že 93 % uniklých e-mailových adres bylo již dříve odhaleno v předchozích únicích dat, což činí opětovně použitá hesla ještě větším problémem.

Navzdory závažnosti úniku dat, Zacks Investment Research k únoru 2025 dosud nevydal žádné oficiální prohlášení. Tato nedostatečná transparentnost je znepokojivá, zejména s ohledem na rozsah úniku a historii zabezpečovacích incidentů Zacks.

Doporučení pro ochranu:

1. Dávejte si pozor na phishingové pokusy a používejte silný antivirový software.

2. Investujte do ochrany před krádeží identity.

3. Povolte dvoufaktorovou autentizaci (2FA) na účtech.

4. Aktualizujte svá hesla.

5. Odstraňte své osobní údaje z veřejných databází.

Únik dat z Zacks Investment poukazuje na skutečnost, jak reálnou hrozbou jsou kybernetické útoky pro finanční instituce. S miliony zasažených uživatelů a odhalenými osobními údaji je riziko podvodů a krádeží identity vyšší než kdykoli předtím.