ザックス・インベストメント・リサーチ(Zacks Investment Research、以下Zacks社)は昨年、約1,200万件のアカウントに関連する機密情報を流出させるデータ侵害に見舞われたと報じられた。
ザックスは米国の投資調査会社で、「ザックス・ランク」と呼ばれる独自の株価評価ツールを通じて、データに基づいた洞察を顧客に提供し、十分な情報に基づいた財務上の意思決定を支援している。
1月下旬、ある脅威者がハッカー・フォーラムで、2024年6月にザックス社に侵入があり、数百万人の顧客データが流出したと主張するデータ・サンプルを公開した。
公開されたデータは、フォーラムのメンバーが少額の暗号通貨と引き換えに入手できるもので、フルネーム、ユーザー名、電子メールアドレス、物理的住所、電話番号が含まれている。
:
Zacks社にデータの信憑性について複数回問い合わせましたが、返答はありませんでした。
しかし、脅威行為者は、ドメイン管理者として同社のアクティブ・ディレクトリにアクセスし、メイン・サイト(Zacks.com)と、いくつかの内部ウェブサイトを含む他の16のウェブサイトのソース・コードを盗んだと述べています。彼らはまた、新たな侵害の証拠として、盗んだソースコードのサンプルを共有した。
本日未明、流出したZacksのデータベースがHave I Been Pwnedに追加された。
HIBPは、このファイルに1200万件のユニークな電子メールアドレス、IPアドレス、名前、塩漬けされていないSHA-256ハッシュ形式のパスワード、電話番号、物理的住所、ユーザー名が含まれていることを確認した。
ただし、同サービスは、流出した電子メールアドレスのおよそ93%が、同じプラットフォームや他のサービスでの過去の侵害によって、すでにデータベースに登録されていたとも指摘している。
公式な確認なし
ザックスは情報漏洩の疑いを確認していないが、今回のデータ漏洩が新たなハッキングの結果であると判明した場合、過去4年間で同社に影響を与えた3度目の大規模な情報漏洩となる可能性がある。
2023年1月、ザックスはハッカーが2021年11月から2022年8月の間に同社のネットワークに侵入し、82万人の顧客の機密情報にアクセスしたことを明らかにした。
数カ月後の2023年6月、HIBPはザックス社から流出した別のデータベースを検証した。
そのデータベースには、ザックスのサービスを利用している880万人の電子メールアドレス、ユーザー名、塩漬けされていないSHA256パスワード、住所、電話番号、フルネームが含まれていた。
HIBPサービスの開発者であるトロイ・ハント氏によると、このデータは2020年5月に流出したようであり、より古いインシデントによるものであることを示している。
ザックスの顧客に関する最新のリークは、公式には検証されていないものの、サービスに追加する前にHIBPによって検証されており、新しいインシデントによるものであるという信頼度は非常に高い。
なお、脅威行為者が他のサービスから情報をスクレイピングし、Zacksに関連するユーザー情報をデータベース化した可能性もある。
Comments