Bleeping Computer 网站披露，据泄件影Zacks Investment Research (Zacks)遭遇了此前未公开披露的露事数据泄露事件，影响约 880 万客户
。响万

值得一提的用户是
，2021 年 11 月至 2022 年 8 月期间，据泄件影Zacks 曾发生过数据泄露事件，露事未经授权的响万网络攻击者”访问“了约 82 万名客户的个人敏感信息
，但 Zack 在当时通报中声称没有理由相信任何客户信用卡信息
、建站模板用户任何其他客户财务信息或任何其他客户的据泄件影个人信息被访问。

数据泄露查询网站 Have I Been Pwned（HIBP）在收到包含 880 万条用户记录的露事数据库后
，于上周末列出了一个新的响万 Zacks 泄露事件
。

HIBP 的用户创建者 Troy Hunt 告诉 Bleeping Computer
，这个数据库似乎是据泄件影在 2020 年 5 月 10 日左右被”丢弃“的，（比第一次披露的高防服务器露事82万客户信息泄露还要早。）比 Zacks 之前的响万漏洞要早。此外 ，Hunt指出泄露的数据库包含了 Zacks 客户的电子邮件地址、用户名、未加盐的 SHA256 密码 、地址、电话号码、云计算名字和姓氏以及其他数据信息。

Zacks 在 HIBP 上的最新数据泄漏通知

据悉，网络攻击者没有”访问“信用卡和银行账户等财务信息，不幸的是 ，Zacks 此前已经为 1 月份披露的漏洞启动了密码重置程序，但 90% 没有被确认为漏洞的账户没有被纳入该措施，因此致使其面临账户劫持、香港云服务器凭据填充和 SIM 卡交换的安全风险 。

目前 ，Zacks 方面还没有正面回答 BleepingComputer 的问题
，Hunt 表示 Zacks 计划通知受影响的用户，但何时通知还没有时间表。

在将数据泄露添加到 Have I Been Pwned 不久，Zacks 数据库就被发布在了 Exposed 黑客论坛上 。（该论坛是一个用于共享和出售被盗数据的服务器租用网站，因泄露包含现已解散的 RaidForums 近 50 万成员详细信息的数据库而臭名昭著）
。

威胁攻击者在 Exposed 论坛上发布的帖子（来源： Bleeping Computer）

最后 ，鉴于目前数据库已被公开泄露
，威胁攻击者可能会在网络钓鱼或凭据填充攻击中滥用该数据库 。 因此，强烈建议所有 Zacks 用户将密码更改为仅在该网站使用的唯一密码 ，如果在其他网站使用相同的源码库Zacks 密码
，建议立刻修改密码 。

文章来源 ：https://www.bleepingcomputer.com/news/security/have-i-been-pwned-warns-of-new-zacks-data-breach-impacting-8-million/