S’il y a un secteur qui a des soins de santé en dehors des violations de données et des attaques de ransomwares, c’est la finance.
Les incidents de sécurité affectant les establishments financières deviennent de plus en plus courants, qu’ils impliquent des banques, des sociétés fintech ou des sociétés de recherche en investissement.
Le dernier cas implique Zacks, une société américaine de recherche sur les investissements. Un cybercriminal a affirmé avoir volé 15 tens of millions de dossiers purchasers et purchasers, mais une enquête distincte a confirmé plus tard que le nombre réel était de 12 tens of millions.
Illustration d’un pirate au travail. (Kurt « Cyberguy » Knutsson)
Ce que vous devez savoir
La brèche d’investissement de Zacks a été révélée pour la première fois fin janvier 2025, lorsqu’un pirate connu sous le nom de « Jurak » a affirmé sur BreachForums qu’ils avaient eu accès aux systèmes de Zacks dès juin 2024.
Selon le pirate, ils ont obtenu des privilèges d’administrateur de domaine pour Zacks’s Energetic Listing, un composant de sécurité réseau critique, leur permettant de voler le code supply pour Zacks.com et 16 autres websites Internet, y compris les outils internes, ainsi que les données du compte utilisateur. Les informations volées ont ensuite été mise en vente sur les boards de pirate, avec des échantillons proposés pour un petit paiement de crypto-monnaie pour prouver l’authenticité, comme indiqué par Bleepingcomputer.
Une enquête plus approfondie a confirmé que la violation s’est produite en juin 2024, exposant 12 tens of millions d’adresses e-mail uniques et autres données personnelles. Le fait que l’attaquant ait réussi à obtenir un accès administrateur de domaine suggère une attaque très sophistiquée, exploitant potentiellement des vulnérabilités dans la sécurité du réseau de Zacks.
Ce n’est pas la première fois que Zacks subit une violation. Les incidents précédents comprennent une attaque 2022 qui a compromis une base de données de produits Zacks Elite plus ancienne de 1999 à 2005, comme indiqué sur la propre web page de divulgation de violation de Zacks.
Le poste de l’acteur de menace sur BreachForums. (BleepingComputer)
Les coûts cachés des applications gratuites: vos informations personnelles
Quelles données ont été compromises
La violation des données d’investissement de Zacks, confirmée par Have I Been Pwned (HIBP), a exposé une gamme d’informations d’utilisateurs sensibles, mettant les personnes affectées en hazard. Les données divulguées comprennent des adresses e-mail, des adresses IP, des noms, des numéros de téléphone, des adresses physiques, des noms d’utilisateur et des mots de passe hachés SHA-256 non salés.
Ce kind d’informations peut être utilisé à mauvais escient pour le phishing, le vol d’identité, la farce des références, le harcèlement, l’échange de sim et même les menaces physiques. De façon alarmante, 93% des adresses e-mail divulguées avaient déjà été exposées dans les violations précédentes, faisant des mots de passe réutilisés un problème encore plus necessary. L’utilisation de hachages SHA-256 non salés – largement considérés dépassés – ne fait qu’ajouter le risque, ce qui permet aux attaquants de casser plus facilement les mots de passe et de faire des compromis.
Malgré la gravité de la violation, Zacks Funding Analysis n’a pas encore publié de déclaration officielle en février 2025. Le manque de transparence est troublant, en particulier compte tenu de l’ampleur de la violation et de l’histoire de Zacks avec des incidents de sécurité.
Qu’est-ce que l’intelligence artificielle (IA)?
Une personne fait défiler sur un téléphone. (Kurt « Cyberguy » Knutsson)
De Tiktok à Trouble: comment vos données en ligne peuvent être armées contre vous
7 façons de vous protéger après une violation de données comme celle-ci
1. Méfiez-vous des tentatives de phishing et utilisez un fort logiciel antivirus: Après une violation de données, les escrocs utilisent souvent les données volées pour élaborer des messages de phishing convaincants. Ceux-ci peuvent venir par e-mail, SMS ou téléphonie, faisant semblant d’être de sociétés de confiance. Soyez très prudent quant aux messages non sollicités avec des liens demandant des détails personnels ou financiers, même s’ils font référence à des commandes ou des transactions récentes. La meilleure façon de vous protéger à partir de liens malveillants est de faire installer des logiciels antivirus solides sur tous vos appareils. Cette safety peut également vous alerter sur les e-mails de phishing et les escroqueries par ransomware, en protégeant vos informations personnelles et vos actifs numériques. Obtenez mes choix pour les meilleurs gagnants de la protection antivirus 2025 pour vos appareils Windows, Mac, Android et iOS.
Obtenez des affaires Fox en déplacement en cliquant ici
2. Investir dans la safety du vol d’identité: Étant donné l’exposition de données personnelles, telles que les noms, les adresses et les détails de la commande, l’investissement dans les providers de safety contre le vol d’identité peut fournir une couche de sécurité supplémentaire. Ces providers surveillent vos comptes financiers et votre rapport de crédit pour tout signe d’activité frauduleuse, vous alertant dès le début du vol d’identité potentiel. Ils peuvent également vous aider à geler vos comptes de banque et de carte de crédit pour empêcher une nouvelle utilisation non autorisée par les criminels. Voir mes conseils et les meilleurs choix sur la façon de vous protéger du vol d’identité.
3. Activer l’authentification à deux facteurs (2FA) sur les comptes: Habilitant Authentification à deux facteurs Ajoute une couche supplémentaire de sécurité à vos comptes en ligne. Même si les pirates mettent la important sur vos informations d’identification de connexion, ils ne pourront pas accéder à vos comptes sans la deuxième étape de vérification, comme un code envoyé à votre téléphone ou à votre e-mail. Cette étape easy peut réduire considérablement le risque d’accès non autorisé à des informations personnelles sensibles.
4. Mettez à jour vos mots de passe: Modifiez les mots de passe pour tous les comptes qui pourraient avoir été affectés par la violation et utilisez des mots de passe solides et solides pour chaque compte. Envisagez d’utiliser un Gestionnaire de mots de passe. Obtenez plus de détails sur mon Meilleurs gestionnaires de mots de passe évalués par des experts de 2025 ici.
5. Supprimez vos données personnelles des bases de données publiques: Si vos données personnelles ont été exposées dans cette violation, il est essential d’agir rapidement pour réduire votre risque de vol d’identité et d’escroqueries. Bien qu’aucun service ne puisse garantir la suppression complète de vos données d’Web, un service de suppression de données est vraiment un choix clever. Ils ne sont pas bon marché – et votre intimité non plus. Ces providers font tout le travail pour vous en surveillant activement et en effacement systématiquement vos informations personnelles à partir de centaines de websites Internet. C’est ce qui me donne la tranquillité d’esprit et s’est avéré être le moyen le plus efficace d’effacer vos données personnelles sur Web. En limitant les informations disponibles, vous réduisez le risque de références croisées des escrocs à partir de violations avec des informations qu’ils pourraient trouver sur le Darkish Internet, ce qui rend plus difficile pour eux de vous cibler. Consultez mes meilleurs choix pour les services de suppression des données ici.
Une faille de sécurité massive met en danger les navigateurs les plus populaires sur Mac
Les principaux plats de Kurt
La violation de l’investissement de Zacks souligne à quel level la menace des cyberattaques est réelle pour les establishments financières. Avec des tens of millions d’utilisateurs affectés et des données personnelles exposées, les risques d’escroqueries et de vol d’identité sont plus élevés que jamais. Le fait que Zacks n’ait pas beaucoup dit sur la brèche ne fait qu’ajouter à l’incertitude pour ceux qui ont été touchés. Comme ces sorts d’attaques deviennent plus courants, il est plus necessary que jamais de rester au courant de votre sécurité en ligne – utilisez des mots de passe uniques, gardez un œil sur vos comptes et restez vigilant pour tout signe d’activité suspecte.
Cliquez ici pour obtenir l’software Fox Information
Devrait-il y avoir des réglementations plus strictes sur la façon dont les entreprises divulguent les violations et protéger les données des purchasers? Faites-nous savoir en nous écrivant à Cyberguy.com/contact
Pour plus de mes conseils methods et mes alertes de sécurité, abonnez-vous à ma e-newsletter gratuite de Cyberguy Report en vous rendant à Cyberguy.com/newsletter
Posez une question à Kurt ou faites-nous savoir quelles histoires vous souhaitez que nous couvrions.
Suivez Kurt sur ses canaux sociaux:
Réponses aux questions de cyberguy les plus posées:
Nouveau de Kurt:
Copyright 2025 Cyberguy.com. Tous droits réservés.
