2023年,各行业全面数字化,加速业务创新发展的同时,确保大量数字资产及云上业务的数据安全,成为不少企业面临的“两难之境”。
威胁猎人发布《2023年数据泄露风险年度报告》,对2023年数据泄露风险概况、黑产数据交易市场等进行具体分析,数据显示:
1、2023年,全网监测并分析验证有效的数据泄露事件超过19500起,涉及金融、物流、航旅、电商、汽车等20余个行业;
2、金融行业超过物流行业,成为2023年公民个人信息泄露事件数量最多的行业;2023年航旅行业公民个人信息泄露事件数量也出现大幅增长,在公民个人信息泄露的行业分布中首次排名前三;
3、从数据泄露渠道来看,主要集中在更加隐蔽和便利的匿名群聊、暗网渠道;值得一提的是,公民个人信息泄露事件的数据交易时间中,夜间交易的超过50%,在非工作日交易的超过30%。
1、数据泄露情报:威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用” 的情报信息,可能包含历史数据、重复数据等,往往量级巨大;
2、数据泄露事件:威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证,确认为真实、有效的数据泄露事件;
3、公民个人信息:指公民个人身份信息,包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等;
4、历史个人信息:指此次数据泄露事件之前就已经泄露过的个人信息,很多历史个人信息被黑产收集整合成社工库;
5、企业敏感代码:指企业的核心代码、算法、技术、密码等敏感信息,具体包括软件源代码、数据库结构、API密钥、访问凭证、加密算法等;
6、企业敏感资料:指企业的机密文件和敏感资料,包括但不限于合同、商业计划、财务报表、市场调研报告、客户列表等;
7、暗网:指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权才能登录;
据威胁猎人数据泄露风险监测平台数据显示,2023年全网监测到的近1.5亿条情报中,分析验证有效的的数据泄露事件超过19500起。
从行业分布来看,2023年数据泄露事件涉及二十余个行业,数据泄露事件数量Top5行业分别为金融、物流、航旅、电商、汽车。
2023年,金融行业依旧是个人信息泄露重灾区,数据泄露事件数量8758起,涉及银行、保险、证券等行业高净值人群信息,主要源于下游黑产用于营销推广以及的收益价值更高。
从金融细分行业来看,数据泄露事件数量发生最多的是银行业,全年共发生4293起,其次为网络借贷、保险、证券及支付行业。
以某金融企业为例,其用户信息等被泄露在某知名中文暗网上,泄露数据量级超过72000条,该数量仍在每日不断更新增加,黑产以199美元进行售卖,截至目前已成交2单,浏览超过2200次。
调查发现,黑客通过攻击渗透爬取该金融企业数据,如果企业未能及时感知数据泄露风险,缺乏有效的防御及处置措施,将会带来难以消弭的经济损失及品牌声誉影响。
值得一提的是,航旅行业位列第三,成为数据泄露重灾区之一。随着新冠疫情好转,旅业回暖态势明显,消费需求得到强劲释放,机票信息、酒店信息等旅客信息数量也出现大幅增长。
威胁猎人安全研究员观察到,2023年因航班信息泄露而遭遇“退改签”的事件频发,黑产团伙在精确获得乘客姓名、证件号、航班号等信息后,通过机票改签的方法实施网络,成功率较高。
威胁猎人数据泄露风险监测平台在Telegram数据交易群“黑客接单”中捕获到黑产发布“实时机票 未登记”的敏感信息,包含了旅客姓名、手机号、身份证号、航班信息等各类敏感信息。
进一步分析发现,该份旅客数据涉及多家航空公司,初步判定为多家航空公司的共有合作方泄露导致。据了解,航旅类用户个人信息的交易单价大部分在13-15元不等,其中最高达20元。
从数据泄露的具体原因来看,2023年数据泄露原因包括运营商通道泄露、内鬼泄露、黑客攻击、安全意识问题等。其中,因运营商通道泄露引发的数据泄露事件数量最多。
运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息;
内鬼泄露:企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖;
黑客攻击:外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据;
安全意识问题:企业内部员工在工作过程中,无意识间把公司内部的重要文件、文档、代码等,上传到网盘文库、代码托管平台等公网环境,导致敏感信息泄露;
第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中;
2023年威胁猎人监测到的数据泄露事件中,发生在Telegram及暗网的达92%以上,其中82.26%集中在Telegram,10.01%发生在暗网,主要原因是 Telegram及暗网渠道的隐蔽性较高,难以追溯到黑产本人,是黑产沟通和交易的首选渠道。
此外,威胁猎人在代码仓库(如 GitHub、GitLab 、Postman等)、网盘文库等渠道也监测到了数据泄露事件。
截至2023年12月,威胁猎人数据泄露监测情报覆盖了Telegram近2万个频道/群聊,在超过1700个频道/群聊中发现公民个人信息泄露风险事件。
从数据泄露的类型来看,2023年泄露数据类型主要有3种:公民个人信息共计18347起(93.68%)、敏感代码共计727起(3.71%)、敏感文件资料共计510起(2.6%)。
其中公民个人信息类型的数据泄露占比最高,达93.68%,作为下游黑灰产主要作恶的数据类型,下文将针对公民个人信息数据泄露具体分析。
2023年公民个人信息泄露事件超18000余起,其中泄露信息字段包含“手机号”的超过80%,主要被下游营销/团伙用于对相关手机号发送短信、电话营销等,进一步实施非法作恶行为。
2023年公民个人信息泄露事件中,“姓名+手机号+身份证号+号”这类数据字段组合出现的频率最高,相关数据泄露事件出现近900起。
从这类数据字段组合出现频率较高的原因来看,一方面下游黑产团伙可以基于完整的数据字段及公民画像信息,进行定向性作恶,使整体作恶成功率及收益更高;
另一方面,部分上游黑产团伙因技术手段受限,仅能获取到“手机号”字段,黑产团伙会通过多种方法拼接个人信息、补齐数据字段信息,从而提高数据的价值。
威胁猎人对公民个人信息贩卖情况调查后发现,数据交易黑市存在历史数据信息被黑产中介进行二次整合,并进行多次贩卖的现象。
尽管数据此前已被买家用于作恶,二次作恶效果明显下降,但黑产中介会以较低的价格进行出售,并以此牟利。
首先,黑产通过一些非法渠道获取初步的公民个人信息(如手机号),而后通过包含历史泄露信息的社工库等渠道,进行数据精细化处理,补充数据字段完整性,从而提升公民个人信息的价值及盈利空间,具体方式包括:
4、运用Apple提供的公开API以及一些自动化脚本工具,实现全自动检测号码是否注册iMessage、开通FaceTime来区分iOS用户等功能,让数据更完整从而提升数据价值。
威胁猎人研究统计发现,2023年公民个人信息泄露事件中的数据交易时间中,非工作日(周末、节假日)发生的事件数量高达31.21%,夜间发生的事件占比高达51.88%,超过一半。(夜间:18:30至次日09:30)
在防守最薄弱的时候,企业难以在数据泄漏事件爆发时快速感知、及时响应,以至于错过最佳应对时机,给企业资金、品牌声誉及商业竞争带来重大影响。
2023年数据泄露事件类型中,除了公民个人信息之外,还有企业敏感代码、敏感资料文件等信息类型。
其中,企业敏感代码泄露事件发现超过727起,主要集中在Github、Gitee等代码仓库平台,占总体量的98.76%。
敏感代码泄露的内容类型上,以数据库账密、源码信息为主,具体包括内网、公网账号密码等,由于涉及大量内部敏感信息,敏感代码泄露带来的影响和损失同样不容小觑。
敏感代码泄露的原因主要归结为企业内部员工安全意识问题、第三方合作泄露及外部黑客攻击,这一点与公民个人信息类数据交易作恶的原因有所不同。
企业敏感资料泄露事件发现超过510起,主要为企业内部安全意识问题引发,例如误上传到在线文库、云盘所导致。
随着非法数据交易市场和黑客论坛逐渐走向公开化,为了提升访问门槛和增强平台安全性,同时实现更高的经营利润,越来越多的暗网论坛以及交易市场开始升级会员体系,使得更有价值的资源及互动需要付费成为会员才能获取和参与,普通用户仅能享受有限资源和受限互动。
威胁猎人对暗网交易市场以及黑客论坛进行调研,发现有超过45个暗网市场以及论坛需通过付费注册、积分解锁、充值会员、邀请码、点赞回复、升级VIP等方式进一步查看具体数据交易模块以及相关帖子内容,充值会员、付费查看信息的价格从数百美元至数千美元不等。
上文提到,2023年威胁猎人监测到的公民个人信息泄露事件中,82.26%集中在Telegram,10.01%发生在暗网。作为公民个人信息泄露的主要渠道,我们将对Telegram及暗网进行进一步分析。
为规避相关法律政策打击,大多数黑产团伙开始转向私域群进行交易,数据交易团伙也对自身的账号信息进行匿名隐藏。
Telegram渠道监测到风险事件最多的频道/群聊为私域群,威胁猎人在私域群累计发现超过1500起风险事件。
此外,为了加强渠道的可信度,确保数据交易顺利进行,一些黑产团伙会组建“公群”,相当于担保机构,如汇旺担保、神马担保等。
公群会组织整理资源群、供需群、担保群等,承接项目需求及各项资源对接,在数据交易过程中进行担保。公群也会设置为单独的私域群,交易者通过邀请链接/管理员同意后才能进入。
在市场监管及政策打击下,黑产数据交易的宣传形式变得更加谨慎,以更好地规避风控和保护自身利益。
以某金融行业为例,威胁猎人对金融行业2023年黑产数据交易宣传形式的变化趋势进行分析。2023年1月到8月期间,黑产交易主要以“数据文件类”宣传为主,黑产交易者通过发布各类数据文件的样本和描述,吸引潜在买家进行交易。
随着监管力度加大和市场风险上升,2023年9月,黑产交易宣传形式逐渐转换为以“纯消息类”宣传数据交易。
黑产交易者通过加密消息、暗号和私密聊天等方式与买家进行交流联络,更加隐蔽而难以被监管机构察觉。
威胁猎人对数据交易黑产进行深入调研发现,不同格式数据的准确性以及时效性均有所不同。主要为短信劫持格式、DPI格式、SDK格式的信息数据,据了解每日可稳定产生的数据量高达万余条。
威胁猎人针对该泄露数据样本进行验证后发现,不同格式数据的准确率确实有所不同,结果与数据交易黑产描述的一致。
在准确率方面:短信劫持格式的数据DPI格式的数据SDK格式的数据,具体原因如下:
1、短信劫持格式的数据:包含短信内。