据称，领先的投资研究公司Zacks Investment遭遇了数据泄露事件，可能导致约1500万客户记录外泄。

　　2025年1月24日，一名名为Jurak的威胁行为者在暗网黑客论坛BreachForums上发帖，声称已于去年6月攻破了Zacks Investment。

　　Zacks是一家知名的金融分析提供商，以其用于评估股票表现的Zacks Ranks平台而闻名。据帖子称，被盗信息包含源代码以及Zacks的数据库，“包含1500万行客户及客户的信息”。发帖者提供了客户数据样本作为证据，并称这些信息包括用户名、电子邮件、密码、地址、全名和电话号码。Jurak还表示，他们曾考虑公开发布源代码，但最终决定不这么做，而是允许拥有“高声誉”的可信用户通过直接联系他们来获取源代码。

　　据Have I Been Pwned网站称，被盗的客户信息影响了1200万个独特的电子邮件地址，并称受影响的账户数量为11,994,223个。

　　该网站指出，客户信息中包含未加盐的SHA-256密码哈希值，这引发了严重担忧，因为这些哈希值容易通过暴力破解方法被破解。与BleepingComputer交谈的威胁行为者表示，他们利用域管理员的权限访问了公司的活动目录，并窃取了其主要域名（zacks.com）以及另外16个网站的源代码。

　　ITPro已联系Zacks Investment Research，但截至发布时未收到回复。

　　此次事件标志着Zacks Investment的第三次安全泄露

　　在宣布泄露的帖子中，用户提到了2022年末发生的一次泄露事件，该事件暴露了与82万名客户相关的敏感信息。

　　在承认此事件的帖子中，该公司表示，其团队已确定一名未知行为者未经授权访问了客户记录。

　　该公司最初表示，暴露的客户信息仅限于1999年至2005年2月期间注册其Zacks Elite产品的客户。然而，该公司后来澄清说，在2023年6月发生的第二次泄露事件中，攻击者获得了截至2020年5月的“zacks.com”客户加密密码的访问权限。

　　该数据库包含了880万名Zacks用户的全名、电子邮件、用户名、未加盐的SH-256密码、地址和电话号码等信息。

　　这意味着在过去四年中，暴露的用户总数已超过2100万。