2025年中国数据泄露风险态势报告

关于威胁猎人 威胁猎人ThreatHunter（深圳永安在线科技有限公司）成立于2017年，以黑灰产情报能力和反欺诈技术为核心，专注于及时、精准、有效的业务欺诈风险的发现和响应。 公司围绕不同行业在数字化发展过程中面临的业务欺诈、数据泄露、钓鱼仿冒、API攻击等风险场景，提供成熟多样的产品与服务，并多次入选Gartner技术成熟度曲线报告、IDC威胁情报领域代表厂商。 公司总部在深圳，在北京、上海、重庆、新加坡等地设有分公司，并在深圳和重庆两地建立数字风险应急响应中心（DRRC），为客户提供7*24小时全天候数字风险应急响应和及时、优质的服务支持。截至目前，公司已为金融、政务、物流、互联网、科技、零售等行业的300多家客户提供安全服务，覆盖85%头部互联网企业，每年帮助客户减少数十亿资金损失。 目录 前言..........................................................................................................................................4 一、2025年数据泄露风险概况.................................................................................................7 1.12025年全年数据泄露事件共41644起，较2024年全年环比上升10.83%....................71.2银行业数据泄露风险连续三年排行第一，软件应用行业首次登上前10.........................91.3数据泄露的渠道概况..................................................................................................10 二、2025年非法数据交易场景变化趋势.................................................................................13 2.1勒索团伙正走向联邦化趋势.......................................................................................132.2暗网头部论坛的覆灭与黑产流量的迁移......................................................................17 3.1金融类、定制化采集类以及社媒类数据交易高度活跃，金融类交易数据占比超50%..223.2消金贷款用户信息泄露事件持续上涨，新型泄露方式多样化......................................253.3银行“扫码申请”贷款信息泄露事件持续上涨，第三方金融科技公司营销工具成核心风险点.................................................................................................................................333.4短信数据泄露风险新趋势，106拓展码成为新型泄露入口.........................................38 四、威胁猎人数据泄露风险情报服务.......................................................................................46 前言 2025年数据泄露持续高位运行，黑产在组织形态、攻击路径与数据交易方式上全面升级，高价值金融数据成为核心目标。基于对全年数据泄露事件的持续监测和分析，威胁猎人发布《2025年数据泄露风险态势报告》，系统分析全年数据泄露趋势、场景变化及非法数据交易链路，综合体现2025年国内数据泄露风险态势全貌。 报告内容关键点总结： 1、数据泄露事件持续高位运行，银行行业数据泄露风险连续三年排行第一： 2025年共监测到有效数据泄露事件41,644起，同比上升10.83%。银行行业数据泄露风险连续三年位居榜首，泄露事件前5名的行业中，泛金融板块（银行、消费金融、支付、证券）占据四席，显示黑产攻击重心在于高变现价值的资金流数据。 2、黑产组织走向“联邦化”，资源互用，涉及多起勒索攻击事件： 2025年黑产呈现明显的组织合体趋势，如SLH联盟（由ScatteredSpider、Lapsus$、ShinyHunters组成）的出现。攻击手段正系统性地从传统漏洞利用转向语音钓鱼（Vishing）驱动的身份滥用以及恶意OAuth集成引发的供应链攻击。 3、非法交易市场展现极强韧性，头部论坛覆灭后流量迅速迁移： 尽管全球执法部门在2025年多次打击暗网头部论坛BreachForums(BF)，但黑产流量并未消失，而是迅速向D**s等替代平台及匿名群聊迁移。非法数据交易市场具备极强的适应与自我修复能力。 4、高价值金融数据被精细化拆分，算法模型提升变现效率： 黑产交易的数据泄露事件中，金融类数据交易占比超过50%，其中贷款类信息被高度精细化为“消金申请”、“银行扫码”、“租机料”等多种产品形态。同时黑产开始引入AI大数据识别与算法模型对原始数据进行清洗、质控和画像细分，以维持高价格和高转化率。 5、短信数据泄露风险新趋势，106拓展码成为新型泄露入口。 106拓展码数据泄露涉及多个行业，影响企业超420家，此外，黑产通过人为拼接、统一格式等手段规避企业的溯源取证。 01 数据泄露风险概况 一、2025年数据泄露风险概况 1.12025年全年数据泄露事件共41644起，较2024年全年环 比上升10.83% 威胁猎人数据泄露风险监测平台数据显示，2025年1月至12月全网监测了7.67亿条关于数据泄露的情报，基于威胁猎人真实性验证引擎以及DRRC专业人工分析验证出有效的数据泄露事件共计41644起，涉及金融、电商、快递等关键行业共2120家企业。 本报告中的年度数据未纳入部分海外及无明确企业主体的数据泄露事件，统计口径相较上半年有所收敛，相关指标变化主要由此产生。 如上图所示，2005年数据泄露事件量级在Q1、Q2、Q4均有不同程度的波动，主要原因如下： 2025年2-3月：威胁猎人监测到的非法数据交易团伙活跃度提升，团伙数量较1月合计上升116.96%，推动数据泄露事件量上升。 2025年4月：威胁猎人监测到数据泄露事件数量出现明显下降，威胁猎人发现，本次波动的主要原因主要源于Telegram平台在2025年4月发起的针对非法团伙的“封群行动”，导致大量非法数据交易群聊被封禁；数据泄露事件量短暂回落。 2025年11月：：受电商购物节集中促销影响，头部暗网论坛中出现大量与电商行业相关的泄露数据；11月暗网渠道相关事件量较10月增长173.95%，成为推升11月数据泄露事件数量的重要因素。 1.2银行行业数据泄露风险连续三年排行第一，软件应用行业首次登上前10 1.2.1金融行业风险"断层式"领先 2025年数据泄露重灾区进一步向资金密集型行业集中。银行业数据泄露事件稳居榜首，对比2024年，消费金融行业则反超电商行业，跃升至第二位。同时，支付与证券行业排名显著前移，分别进入Top4与Top5。“泛金融”板块在前五高风险行业中占据四席，表明黑产攻击重心已高度聚焦于具备高变现价值的信贷与资金流相关数据。 1.2.2本地生活“强登”情报大幅下降，软件应用取代本地生活成为新靶点 据威胁猎人监测，2024年本地生活行业中较为活跃的“强登”查档类数据泄露事件，在2025年出现明显回落，相关事件量同比下降61.38%；上游非法数据获取方的攻击重点开始发生转移，更加聚焦于具备动态价值的移动端用户行为数据，如应用内交互行为、位置及轨迹信息等。 1.3数据泄露的渠道概况 根据威胁猎人2025年监测平台数据统计，匿名群聊与暗网仍是数据泄露的主要渠道，两者合计占比高达88.77%。整个非法数据交易市场呈现出高度集中的态势。 ApiTools：是指代API工具站/接口文档站/在线调试等平台 02 数据泄露风险概况 二、2025年非法数据交易场景变化趋势 2.1勒索团伙正走向联邦化趋势 2.1.1从"各自为战"到"组织合体"：ScatteredLapsu$Hunters的出现 过去几年，数据泄露上游链条更多呈现"角色分工、按需协作"的形态：从入侵到数据窃取勒索，不同环节通常由不同团伙或个人完成，交易与协作主要通过暗网论坛与中介撮合完成（IAB、RaaS运营方、Affiliate、数据掮客各自为战）。 IAB（InitialAccessBroker，初始访问经纪人）：IAB主要负责获取并倒卖进入目标系统或网络环境的初始访问权限；包括账号凭证、VPN/RDP/SSO会话，以及已落地的内部访问点，为后续攻击活动提供起始入口。 RaaS运营方（Ransomware-as-a-Serviceoperator）：RaaS运营方则是以平台化方式提供勒索软件工具、攻击基础设施和分成机制，招募并管理代理（Affiliate）实施入侵、加密和勒索行为，充当攻击能力的组织与调度中枢。 Affiliate（Raas代理/执行方）：Affiliate是RaaS生态中负责"落地执行"的角色，通常获取或购买初始访问后进入受害者环境，完成渗透扩展、数据窃取/外传与加密投放，并按RaaS运营方的规则与其分成收益。 数据掮客（DataBroker）：数据掮客则是倒卖数据的角色；交易对象包括数据库导出、内部文档、客户或员工信息、邮箱内容及各类访问Token等，为诈骗、勒索或转卖变现提供数据基础。 其基本勒索协作运作链路如下： 这一格局在2025年出现了明显变化，勒索团伙开始走向联邦化趋势。 2025年8月8日，一个名为"ScatteredLapsu$Hunters–TheComHQSCATTEREDSP1D3RHUNTERS"的Telegram频道上线，正式宣告三个知名网络犯罪组织的合作。 该联盟由以下三大团伙合体而成： ScatteredSpiderLapsus$ShinyHunters 这是一个以经济利益为动机、以社会工程与身份滥用为核心的网络犯罪团伙，其运作模式为Federated联邦模式；被研究界视为网络犯罪进入“联邦化”的重要信号。 联邦式（Federated）网络犯罪模式：指多个相对独立的犯罪团体不必统一指挥，而以共同品牌对外行动；按需共享/复用部分资源（如泄露渠道、社工剧本、基础设施与施压流程），以协作形式扩大影响与变现。 2.1.2合体后攻击策略的变化 SLH于2025年8月初正式合体后，仅4个多月时间，已公开宣称攻击超过300家企业，窃取了数以亿计的数据资产，涉及多家重量级目标，包括Salesforce、CrowdStrike、RedHat等。其合体后最显著的变化在于攻击策略的变化：社会工程与供应链攻击，正在系统性取代传统漏洞攻击。 1.身份与权限滥用：语音钓鱼驱动的高权限账户利用 捷豹路虎（JLR）勒索事件（2025年8月–9月） SLH通过利用语音钓鱼冒充内部员工获取帮助台人员支持（重置或授予权限）的诈骗手段，入侵了高权限管理员帐户，并利用这些帐户访问和部署勒索软件，攻击捷豹业务的各个方面，从CAD和工程软件到支付跟踪，再到客户汽车交付。导致JLR全球IT网络被迫下线、多地工厂停产数周，被媒体称为"英国史上影响最严重的网络攻击之一"。随后Telegram上其勒索团