Zacks Investment Research’teki bir siber güvenlik olayı, 2022’den beri finansal hizmetler firması için ikinci büyük ihlalleri işaretleyerek 12 milyon kullanıcıya ait hassas verileri ortaya çıkardı.
Uzaklaştırılmış bilgiler, e-posta adreslerini, telefon numaralarını, adları, IP adreslerini, fiziksel adresleri ve zayıf korunan şifre karmalarını içerir ve kimlik hırsızlığı ve kimlik bilgisi-himaye saldırıları ile ilgili endişeleri artırır.
İhlal kapsamı ve tehlikeye atılan veriler
Bir siber güvenlik firması tarafından gönderilen ihlal, X platformunda görevlendirildim.
Saldırganlar, modern güvenlik standartları için yetersiz olduğunu düşünen kriptografik bir yöntem olan tuzsuz SHA-256 şifre karmalarına erişti.
Şifrelemeden önce şifrelere rastgele veri ekleyen tuzlu karmalardan farklı olarak, tuzsuz karmalar, saldırganların kaba kuvvet yöntemleri aracılığıyla kimlik bilgilerini verimli bir şekilde kırmak için önceden hesaplanmış “gökkuşağı tablolarını” kullanmasını sağlar.
Fiziksel adresler ve IP adresleri de sızdırıldı ve kurbanlar için bileşik riskler yarattı.
Hunt’ın belirttiği gibi: “Konut adreslerinin ve cihaz tanımlayıcılarının birleşimi, yüksek hedefli kimlik avı kampanyalarını veya fiziksel güvenlik tehditlerini kolaylaştırabilir”.
Özellikle, etkilenen e -posta adreslerinin% 93’ü önceden ihlal veritabanlarında ortaya çıktı, bu da birçok kullanıcının önceki olaylardan sonra kimlik bilgilerini güncelleyemediğini gösterdi.
Zacks’in yanıtı ve tarihsel bağlamı
Zacks henüz resmi bir ihlal bildirimi yayınlamamış olsa da, bağımsız analistler bilinen müşteri kayıtlarıyla çapraz referans olarak veri kümesinin özgünlüğünü doğruladı.
Bu olay, bilgisayar korsanlarının 820.000 hesabı tehlikeye attığı 2022 ihlali izliyor ve bu da şirketin veri koruma çerçevelerindeki sistemik güvenlik açıklarını gösteriyor.
Benzer saldırı vektörlerinin tekrarlanması – özellikle modası geçmiş karma protokollerin sürekli kullanımı – siber güvenlik profesyonellerinden eleştiriler aldı.
Bir penetrasyon test cihazı olan John Opdenakker şunları söyledi: “Hassas yatırımcı verilerini ele alan finansal kurumların 2024’te tuzsuz karma kullanmak için bir mazereti yoktur. Bu, temel güvenlik hijyenin uygulanmasında temel bir başarısızlığı temsil eder”.
Etkilenen kullanıcılar için riskler
Kurbanlar çok yönlü tehditlerle karşı karşıya:
- Kimlik Bilgisi Saldırı Saldırıları: Siber suçlular genellikle bankacılık platformları ve yatırım hizmetleri arasında sızdırılmış e -posta/şifre kombinasyonlarını test edin
- Sextortion Dolandırıcılık: Sızan telefon numaraları ve fiziksel adresler kişiselleştirilmiş gasp denemelerini mümkün kılar
- Kimlik hırsızlığı: Tamamen kişisel profiller, sahtekarların finansal kurumlarda bilgi (KYC) kontrollerini bilmeniz (KYC) kontrollerini atlamasına izin verir
İhlal, finansal kurumlar için titiz veri koruma standartlarını zorunlu kılan FTC’nin koruma kuralı uyarınca soruşturmaları tetikleyebilir.
Potansiyel para cezaları, güncellenmiş FTC cezası yönergeleri kapsamında ihlal başına 50.120 $ ‘a ulaşabilir.
Dijital dönüşüm finansal hizmetler arasında hızlandıkça, bu ihlal proaktif siber güvenlik yatırımlarına yönelik kritik ihtiyacın altını çizmektedir.
Şirketler modern şifrelemeye ve gerçek zamanlı tehdit izlemeye öncelik verene kadar, tüketiciler gelişen saldırı metodolojilerine karşı savunmasız kalırlar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free