2023年数据泄露风险年度报告
1 2目录Contents前言..................................................................................................................3一、2023年数据泄露风险概况.....................................................................51.12023年监测数据泄露事件超19500起,金融、物流、航旅等行业是数据泄露重灾区..................................................................................................................................................61.2金融行业数据泄露事件8758起位列第一,航旅行业跃居第三.................................61.3数据泄露原因包括运营商通道泄露、内鬼泄露、黑客攻击等...................................101.4Telegram、暗网是数据泄露的主要渠道,占比高达92%.........................................111.52023年“公民个人信息”依旧是数据泄露的主要类型,占比超90%...................121.62023年公民个人信息泄露的特征及趋势.......................................................................121.72023年除公民个人信息泄露外,敏感代码、资料文件等信息泄露超1200起....16二、2023年黑产数据交易市场相关研究....................................................202.1超过45个暗网平台通过“高级会员”等形式提升访问门槛....................................212.2超过1500起风险事件在Telegram“私域群”发现.................................................222.3黑产交易数据形式逐渐由“数据文件类”转化为更隐蔽的“纯消息类”宣传.....242.4不同黑产交易数据格式中,短信劫持格式的数据准确性最高...................................252.52023年黑产数据交易形势变化以及下游作恶新手法..................................................26三、多维度提升数据泄露风险监测及预警能力.......................................30 3前言2023年,各行业全面数字化,加速业务创新发展的同时,确保大量数字资产及云上业务的数据安全,成为不少企业面临的“两难之境”,因数据泄露问题产生的影响及损失进一步扩大,对各行业关键领域造成严重影响。威胁猎人发布《2023年数据泄露风险年度报告》,对2023年数据泄露风险概况、黑产数据交易市场等进行具体分析,数据显示:1.2023年,全网监测并分析验证有效的数据泄露事件超过19500起,涉及金融、物流、航旅、电商、汽车等20余个行业;2.金融行业超过物流行业,成为2023年公民个人信息泄露事件数量最多的行业;2023年航旅行业公民个人信息泄露事件数量也出现大幅增长,在公民个人信息泄露的行业分布中首次排名前三;3.从数据泄露渠道来看,主要集中在更加隐蔽和便利的匿名群聊、暗网渠道;值得一提的是,公民个人信息泄露事件的数据交易时间中,夜间交易的超过50%,在非工作日交易的超过30%。 4相关名词定义:1、数据泄露情报:威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”的情报信息,可能包含历史数据、重复数据等,往往量级巨大;2、数据泄露事件:威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证,确认为真实、有效的数据泄露事件;3、公民个人信息:指公民个人身份信息,包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等;4、历史个人信息:指此次数据泄露事件之前就已经泄露过的个人信息,很多历史个人信息被黑产收集整合成社工库;5、企业敏感代码:指企业的核心代码、算法、技术、密码等敏感信息,具体包括软件源代码、数据库结构、API密钥、访问凭证、加密算法等;6、企业敏感资料:指企业的机密文件和敏感资料,包括但不限于合同、商业计划、财务报表、市场调研报告、客户列表等;7、暗网:指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权才能登录;8、私域群:需通过邀请链接/管理员同意后才能进入的群组,一般外部人员无法监测或进入该群聊。 52023年数据泄露风险概况01 6一、2023年数据泄露风险概况1.12023年监测数据泄露事件超19500起,金融、物流、航旅等行业是数据泄露重灾区据威胁猎人数据泄露风险监测平台数据显示,2023年全网监测到的近1.5亿条情报中,分析验证有效的的数据泄露事件超过19500起。从行业分布来看,2023年数据泄露事件涉及20余个行业,数据泄露事件数量Top5行业分别为金融、物流、航旅、电商、汽车。1.2金融行业数据泄露事件8758起位列第一,航旅行业跃居第三2023年,金融行业依旧是个人信息泄露重灾区,数据泄露事件数量8758起,涉及银行、保险、证券等行业高净值人群信息,主要源于下游黑产用于营销推广以及诈骗的收益价值更高。 7从金融细分行业来看,数据泄露事件数量发生最多的是银行业,全年共发生4293起,其次为网络借贷、保险、证券及支付行业。金融行业典型数据泄露事件案例:以某金融企业为例,其用户贷款信息等被泄露在某知名中文暗网上,泄露数据量级超过72000条,该数量仍在每日不断更新增加,黑产以199美元进行售卖,截至目前已成交2单,浏览超过2200次。调查发现,黑客通过攻击渗透爬取该金融企业数据,如果企业未能及时感知数据泄露风险,缺乏有效的防御及处置措施,将会带来难以消弭的经济损失及品牌声誉影响。 8值得一提的是,航旅行业位列第三,成为数据泄露重灾区之一。随着新冠疫情好转,旅游行业回暖态势明显,消费需求得到强劲释放,机票信息、酒店信息等旅客信息数量也出现大幅增长。威胁猎人安全研究员观察到,2023年因航班信息泄露而遭遇“退改签”诈骗的事件频发,黑产团伙在精确获得乘客姓名、证件号、航班号等信息后,通过机票改签的方法实施网络诈骗,诈骗成功率较高。航旅行业典型数据泄露事件案例:威胁猎人数据泄露风险监测平台在Telegram数据交易群“黑客接单”中捕获到黑产发布“实时机票未登记”的敏感信息,包含了旅客姓名、手机号、身份证号、航班信息等各类敏感信息。 9进一步分析发现,该份旅客数据涉及多家航空公司,初步判定为多家航空公司的共有合作方泄露导致。据了解,航旅类用户个人信息的交易单价大部分在13-15元不等,其中最高达20元。 101.3数据泄露原因包括运营商通道泄露、内鬼泄露、黑客攻击等从数据泄露的具体原因来看,2023年数据泄露原因包括运营商通道泄露、内鬼泄露、黑客攻击、安全意识问题等。其中,因运营商通道泄露引发的数据泄露事件数量最多。运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据,指定应用的安装数据,指定短信的接收和发送数据等信息;内鬼泄露:企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖;黑客攻击:外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据; 11安全意识问题:企业内部员工在工作过程中,无意识间把公司内部的重要文件、文档、代码等,上传到网盘文库、代码托管平台等公网环境,导致敏感信息泄露;第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中;1.4Telegram、暗网是数据泄露的主要渠道,占比高达92%2023年威胁猎人监测到的数据泄露事件中,发生在Telegram及暗网的达92%以上,其中82.26%集中在Telegram,10.01%发生在暗网,主要原因是Telegram及暗网渠道的隐蔽性较高,难以追溯到黑产本人,是黑产沟通和交易的首选渠道。此外,威胁猎人在代码仓库(如GitHub、GitLab、Postman等)、网盘文库等渠道也监测到了数据泄露事件。截至2023年12月,威胁猎人数据泄露监测情报覆盖了Telegram近2万个频道/群聊,在超过1700个频道/群聊中发现公民个人信息泄露风险事件。 121.52023年“公民个人信息”依旧是数据泄露的主要类型,占比超90%从数据泄露的类型来看,2023年泄露数据类型主要有3种:公民个人信息共计18347起(93.68%)、敏感代码共计727起(3.71%)、敏感文件资料共计510起(2.6%)。其中公民个人信息类型的数据泄露占比最高,达93.68%,作为下游黑灰产主要作恶的数据类型,下文将针对公民个人信息数据泄露具体分析。1.62023年公民个人信息泄露的特征及趋势1.6.1包含“手机号”的公民个人信息泄露超过80%,主要用于精准营销/诈骗作恶 132023年公民个人信息泄露事件超18000余起,其中泄露信息字段包含“手机号”的超过80%,主要被下游营销/诈骗团伙用于对相关手机号发送短信、电话营销等,进一步实施非法作恶行为。2023年公民个人信息泄露事件中,“姓名+手机号+身份证号+银行卡号”这类数据字段组合出现的频率最高,相关数据泄露事件出现近900起。从这类数据字段组合出现频率较高的原因来看,一方面下游黑产团伙可以基于完整的数据字段及公民画像信息,进行定向性作恶,使整体作恶成功率及收益更高;另一方面,部分上游黑产团伙因技术手段受限,仅能获取到“手机号”字段,黑产团伙会通过多种方法拼接个人信息、补齐数据字段信息,从而提高数据的价值。泄露字段TOP10: 141.6.2黑产二次拼接“历史个人数据信息”,并进行多次贩卖的现象频发威胁猎人对公民个人信息贩卖情况调查后发现,数据交易黑市存在历史数据信息被黑产中介进行二次整合,并进行多次贩卖的现象。尽管数据此前已被买家用于作恶,二次作恶效果明显下降,但黑产中介会以较低的价格进行出售,并以此牟利。首先,黑产通过一些非法渠道获取初步的公民个人信息(如手机号),而后通过包含历史泄露信息的社工库等渠道,进行数据精细化处理,补充数据字段完整性,从而提升公民个人信息的价值及盈利空间,具体方式包括:1、通过浏览器等公开渠道,查询相应手机号码的具体归属地、运营商信息;2、利用社工库,通过手机号码进一步查询号主的身份信息;3、针对特定平台网站的用户,中介机构执行校验查询,对数据进行清洗并过滤无效手机号;4、运用Apple提供的公开API以及一些自动化脚本工具,实现全自动检测号码是否注册iMessage、开通FaceTime来区分IOS用户等功能,让数据更完整从而提升数据价值。 151.6.3公民个人信息在夜间交易的超过50%,在非工作日交易的超过30%威胁猎人研究统计发现,2023年公民个人信息泄露事件中的数据交易时间中,非工作日(周末、节假日)发生的事件数量高达31.21%,夜间发生的事件占比高达51.88%,超过一半。(夜间:18:30至次日09:30)在防守最薄弱的时候,企业难以在数据泄露事件爆发时快速感知、及时响应,以至于错过最佳应对时机,给企业资金、品牌声誉及商业竞争带来重大影响。 161.72023年除公民个人信息泄露外,敏感代码、
