Onderzoeksbureau Zacks, dat voor financieel adviseurs, beleggers en andere financieel professionals analyses van aandelen en aandelenbeurzen uitvoert, heeft niet van 820.000 klanten de gegevens gelekt maar van bijna 9 miljoen. Eind vorig jaar waarschuwde Zacks dat een onbekende "derde partij" toegang tot klantgegevens had gekregen. Het zou specifiek gaan om klanten die zich tussen november 1999 en februari 2005 voor "Zacks Elite" hadden aangemeld.

Van deze klanten werden naam, adresgegevens, telefoonnummer, e-mailadres en wachtwoord voor Zacks.com buitgemaakt. Hoe de aanval kon plaatsvinden liet Zacks niet weten. Bij alle getroffen klanten werd het wachtwoord gereset. In de initiële datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine werd gesproken over 820.000 getroffen klanten.

Deze maand verscheen op internet een dataset met de gegevens van bijna negen miljoen Zacks-klanten, waarvan de meest recente data van mei 2020 was. Het gaat om namen, gebruikersnamen, e-mailadressen, adresgegevens, telefoonnummers en niet gesalte SHA-256 wachtwoordhashes. In een aanvulling op de eerste melding stelt Zacks dat de aanvallers ook toegang tot "versleutelde wachtwoorden" van klanten hebben gekregen.

De bijna negen miljoen e-mailadressen zijn toegevoegd aan datalekzoekmachine Have I Been Pwned. Via Have I Been Pwned is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij Zacks.com buitgemaakte e-mailadressen was 70 procent al via een ander datalek bij de zoekmachine bekend.