《威脅獵人：2022年數據資產泄露分析報告（28頁）.pdf》由會員分享，可在線閱讀，更多相關《威脅獵人：2022年數據資產泄露分析報告（28頁）.pdf（28頁珍藏版）》請在三個皮匠報告上搜索。

1、12目錄Contents前言.3一、2022 年數據泄漏風險概況.5二、2022 年地下黑市數據交易分析.11三、2022 年值得關注的數據泄露案例.161、金融機構數據泄漏事件涉及機構超 300 家.162、物流行業數據泄漏事件泄漏量級最高超 100 萬.193、電商行業數據泄露事件涉及國內外知名品牌.214、傳統行業數據泄露事件涉及 24 家知名汽車品牌.23四、數據保護措施與建議.263前言大數據、互聯網為企業帶來無限發展生機的同時，也暗藏了巨大的數據安全隱患。伴隨數字化轉型深入發展，數據泄露事件的頻率、規模和成本也較往年有所上升，對不少企業造成了持續、難以消弭的影響。2022 年 2

2、月，國內主流招聘平臺簡歷數據疑遭爬取，涉及 2.1 億余條個人信息；2022 年 7 月，國內某視頻分享平臺 2.2 億余條用戶 ID、手機號疑被出售;2022 年 11 月，Meta 被罰 2.65 億美元，起因是 Facebook 遭遇爬蟲攻擊致 5.33 億用戶數據泄露;.威脅獵人2022 年數據資產泄露分析報告基于過去 1 年捕獲到的數據泄露事件，結合數據安全現狀，多維度呈現 2022 年國內數據泄露的態勢全景。401數據泄漏風險概況015一、2022 年 數據泄漏風險概況1、2022 年累計捕獲數據泄露事件超 3200 起，較 2021 年上升近一倍威脅獵人情報平臺在 2022 年發

3、現并驗證有效的數據泄露事件超過 3200 起，與 2021 年相比，上升了將近一倍，其中下半年數據泄漏事件的數量比上半年明顯增多。62、數據泄露渠道來源廣泛，匿名社交軟件占比超 75%如下是 2022 年威脅獵人情報研究員從各渠道發現的數據泄露事件占比，超過 75%的數據泄露事件通過匿名社交軟件發現，匿名社交軟件以 Telegram 為主。2022 年，威脅獵人情報平臺捕獲數據泄漏事件的主要渠道如下：匿名社交軟件：以 Telegram（飛機）、Potato（土豆）、Batchat（蝙蝠）等為代表的匿名社交軟件，被黑產用來作為數據交易的平臺，是當前捕獲數據泄露事件的主要渠道；網盤文庫：一些企業員

4、工將網盤和文庫作為文件存儲和文檔共享的工具，由于安全意識不足等原因，可能會誤傳一些包含敏感信息的文件或文檔，且任何人都可以公開訪問，最終導致數據泄露；代碼托管平臺：一些開發人員會將編寫的代碼上傳到 Github、Gitee 等代碼托管平臺，可能會暴露后臺地址、賬號、密碼等敏感信息。72017 年，豐田“T-Connect”應用程序源代碼發布在 Github 遭受惡意利用，泄露了 30萬客戶的電子郵件，直到 5 年后的 2022 年 10 月才發現并更改；蜜罐+黑產工具：威脅獵人獨有的蜜罐技術和黑產工具分析技術，實時捕獲網絡黑灰產的攻擊流量，通過對這些攻擊流量進行分析，可以發現大量竊取數據的攻擊

5、，成為發現數據泄露事件的重要渠道之一。暗網：基于 Tor、I2P 等匿名通信技術構建的暗網網絡，存在著各種地下交易市場和論壇，歷史上不少的重大數據泄露事件都在暗網最先曝光；此外，還包含以 Raid Forums、Breach Forums 等為代表的黑產論壇、公共媒體等渠道。3、2022 年數據泄露行業分布中，金融、物流、電商行業占據前三從行業分布來看，2022 年捕獲的數據泄露事件中，占比較大的是金融行業、物流行業、電商行業。8金融行業因涉及大量高價值用戶數據，且靠近交易環節，成為了黑產攻擊的主要對象。金融行業的數據泄露事件主要體現在借貸、銀行、證券、保險等企業的客戶信息倒賣，通常被下游黑產

6、團伙用于精準營銷及詐騙。伴隨線上購物的火熱發展，產生了海量購物訂單及物流信息，這些購物訂單及物流信息由于暴露面較大，逐漸成為了黑產團伙的重點目標，同樣被用于營銷或詐騙。4、2022 年數據泄露主要原因中，運營商通道泄露占比第一2022 年威脅獵人捕獲的數據泄露事件中，部分事件可以通過溯源分析定位到泄露原因。經威脅獵人情報專家統計分析，2022 年數據泄露的主要原因及占比如下：9運營商通道：黑產通過違規代理或運營商內鬼等，獲取到指定網頁的訪問數據、指定應用的安裝數據、指定短信的接收和發送數據等信息；安全意識問題：企業內部員工在工作過程中，無意識間把公司內部的重要文件、文檔、代碼等，上傳到網盤文庫

7、、代碼托管平臺等公網環境；內鬼泄露：企業內部員工在利益的驅使下，采用資料導出、人工拍攝等方式，獲取客戶敏感信息后進行售賣；黑客攻擊：黑客使用爬蟲、掃描、滲透等方式攻擊企業的網絡資產和系統，找出安全漏洞后大規模竊取數據；隨著各行業網絡安全水位不斷提高，黑客入侵并獲取后臺權限的難度越來越高，因此不少黑客將攻擊對象瞄準為存在安全缺陷的 API 接口，通過數據遍歷攻擊等方式竊取數據。第三方泄露：和企業存在合作關系的第三方，具有訪問企業部分敏感數據的權限，因數據權限管理不規范等問題，導致這些敏感數據通過第三方泄露到黑產手中。1002地下黑產數據交易分析11二、2022 年地下黑市數據交易分析1、Tele

8、gram 取代暗網交易市場，成為數據交易最主要的平臺曾經最大的中文暗網交易市場之一“茶馬古道”在 2021 年底被警方搗毀，后續又發展出了“長安不夜城”、“自由國度”等暗網交易市場。2022 年暗網交易市場發布的數據售賣信息不在少數，但經過分析和驗證，暗網交易市場發布的數據中絕大多數都是歷史泄露數據、虛假數據或滲水數據，新出現的真實泄露數據比重較少。經研究分析，主要原因如下：1、由于警方對暗網市場展開多輪打擊，很多數據賣家不再將其視為首選平臺；2、由于部分暗網交易市場出現無法提現、管理員跑路等情況，大大降低了賣家對平臺的信任。相較之下，匿名社交軟件 Telegram 已逐漸取代暗網交易市場，成

9、為黑產非法交易數據最主要的平臺。2022 年，威脅獵人監控到 Telegram 上活躍的黑產人員超過 146 萬，平均每個月活躍超過 19.5 萬。12經研究調查發現，Telegram 上長期活躍的黑產團伙中，2022 年數據交易數量排名前十的黑產團伙，進行數據交易超過 50 起，排名前二的黑產團伙累計進行數據交易達到 200 起左右。這些黑產團伙在 Telegram 上創建了多個群聊、頻道以及機器人，一旦掌握新的數據就會在這些渠道發布售賣信息，吸引更多購買者。2 月 12 日，疑似 45 億地址信息泄露事件引起了廣泛關注，該團伙最早就是在其 Telegram 頻道上發布的相關數據信息。132

10、、小規模的實時數據成為數據交易的主流2022 年，威脅獵人情報平臺捕獲的地下黑市數據交易中，約有 71%的交易披露了售賣的數據量，其中交易數據量級在 1W 以下的“小規模的實時數據”超過了 73%，成為數據交易的主流。經威脅獵人研究分析，小規模數據交易成為主流的原因如下：1、在部分數據泄露的渠道中，賣家一次性可以獲取的數據往往較少，甚至需要買家提前預訂；2、這些數據雖量級不大，但基本都是實時或準實時的數據，有效性好，因此更易受到買家的“青睞”；3、實時數據的單價往往比較高，一次性購買大量實時數據的花費過高。相較而言，大規模數據交易由于量大、成本高，少有買家“吃得消”，且里面可能存在較多的歷史數

11、據，數據價值有限，因此大規模數據交易占比大大降低。143、“歷史數據+新數據”組合進行交易的事件頻發為提高精準營銷或詐騙的效果，下游黑產團伙往往需要盡可能多地掌握受害者信息，因此賣家也會通過組合數據進行交易，其中最典型的就是“歷史數據”組合“新數據”。對于歷史數據，很多數據賣家掌握了海量的歷史泄露庫，從歷史數據中可以提取出大量的姓名、手機號、身份證、住址等個人敏感信息。對于新數據，黑產團伙利用某些金融、電商等平臺存在安全缺陷的 API 接口，通過批量掃號攻擊的方式，篩選出該平臺注冊用戶的手機號。以手機號為關聯，將歷史數據和新數據進行組合，就可以得到一份全面的數據，包括某平臺注冊用戶的手機號、姓

12、名、身份證、住址等信息。2022 年威脅獵人情報平臺通過蜜罐技術捕獲到了大量的掃號攻擊，覆蓋多個平臺。在攻擊者傳入的手機號中，有不少手機號與歷史泄露數據庫中的手機號吻合。1503數據泄漏案例16三、2022 年值得關注的數據泄露案例1、金融機構數據泄漏事件累計捕獲超 1100 起，涉及企業超 300 家金融機構在開展業務的過程中積累了海量的高價值數據，這些高價值數據一直都是黑產團伙眼中的“香饃饃”，在威脅獵人數據泄露監測情報中，金融機構的數據泄露事件往往排名前列。2022 年，威脅獵人累計捕獲到超過 1100 起金融機構相關的數據泄露事件，涉及的企業超過 300 家，覆蓋銀行、證券、保險、借貸

13、等多個細分領域。2022 年 11 月，威脅獵人情報平臺監控到國內某銀行泄露客戶信息數據超過 8 萬條，泄露的數據格式包含客戶姓名、身份證號、出生日期、貸款情況、手機號、有無抵押以及婚姻狀況、文化程度等敏感字段。17該類數據往往會被下游黑產團伙用于精準營銷以及詐騙作惡，例如通過獲取客戶貸款信息，以短信、手機號等方式聯系客戶，進行相關貸款平臺的精準營銷，又或通過冒充某銀行工作人員報出客戶相關信息，誘導用戶進行轉賬或其他違法操作。當前，金融機構在數據安全建設上已經較為成熟，但在數字化交互的推動及利益的驅使下，客戶信息仍然通過運營商通道、第三方工具/平臺等方式被黑產竊取，給“嚴監管、高標準”的金融行

14、業帶來了前所未有的風險與挑戰。18金融機構由運營商通道、第三方工具/平臺引發數據泄露的事件屢屢發生。2022 年 7 月至 8月，威脅獵人情報平臺捕獲到了多起國內借貸平臺客戶短信內容數據泄露，經研究發現，泄露原因主要是運營商通道泄露，泄露的數據格式主要包含用戶手機號、短信內容、接收短信時間以及姓名等敏感字段。2022 年，威脅獵人 Karma 情報平臺監控到某第三方催收公司通過外部的工具作者開發自動化的“催收輔助工具”，涉及到多家金融機構。經研究分析發現，“催收輔助工具”可以繞過催收系統，通過破解和偽造“拉取數據的 API 接口”請求，獲得用戶數據的訪問權限并批量下載客戶數據（包括借款人名字、

15、身份證、借款數量、住址等），不受系統訪問權限和操作限制的影響，給金融機構帶來了較大的數據泄露風險。192、物流行業數據泄漏事件累計捕獲超 1200 起，泄露量級最高超 100萬2022 年威脅獵人累計捕獲到超過 1200 起物流行業相關的數據泄露事件，涉及 40 家物流快遞公司，泄露量級最高超過 100 萬，平均每天有超過 1 萬條的用戶信息在地下黑市交易，價格基本保持在 3-4 元每條。其中主要是快遞面單導致的泄露，泄露的信息包含寄收件人的姓名、手機號、商品信息、快遞單號、時間等敏感字段。經調查分析，快遞面單泄露的主要原因包括：1.人為拍攝泄露：快遞站點工作人員進行面單拍攝并出售給黑產；2.

16、第三方渠道泄露：企業使用的第三方渠道存儲了大量快遞數據，相關第三方平臺對快遞數據保管不當，或受黑產攻擊導致數據泄露。20物流行業某云倉平臺被植入木馬、漏洞攻擊：2022 年，威脅獵人情報平臺監控到多個有組織的黑產團伙，以云倉或者電商園區打印面單的電腦為目標展開作案。黑產團伙以應聘工作為由虛假入職國內某云倉，伺機在其使用的工作電腦或面單打印機電腦上安裝木馬軟件，對用戶敏感信息數據進行竊取，并在數據交易市場上以單價 3 元進行售賣。213、電商行業數據泄露事件累計捕獲近 500 起，涉及國內外知名品牌近年來新電商和新零售發展如火如荼，眾多用戶通過商家自有電商、第三方電商、直播電商等方式進行購物，產

17、生了海量購物信息，隨之而來的數據泄露風險也逐漸增加。2022 年威脅獵人累計捕獲到近 500 起與電商行業相關的數據泄露事件，涉及美妝、服裝等國內外知名品牌。2022 年 5 月份，威脅獵人監測到國內某大型美妝品牌的電商平臺購物數據遭到泄露，泄露量級超過 15 萬條，泄露的數據包含客戶姓名、手機號、商品信息、下單時間、支付方式、收件地址等諸多敏感信息。經分析，電商行業數據泄露的主要原因包括：1、物流環節泄露；2、店鋪運營“內鬼”泄露；3、第三方工具軟件泄露。如前文所提，金融和物流行業出現第三方渠道導致的數據泄露的事件不在少數，在電商行業，很多店鋪商家為了提高運營效率，往往會使用第三方開發工具軟

18、件管理客戶、訂單、服務等，這些工具逐漸成為了黑產竊取數據的重要突破口。以某店鋪商家使用的第三方工具為例：2022 年 3 月，威脅獵人情報平臺捕獲到一款店鋪商家使用的第三方工具，該工具內置了一個后端接口，可以對已加密的購物數據進行解密，從而獲取到明文的訂單號、客戶姓名、地22址、電話號碼等信息。一旦該接口遭到黑產惡意攻擊，所有使用該工具的商家，其訂單信息將全部遭到泄露：某店鋪商家因第三方工具引發信息爬?。?022 年 6 月，威脅獵人通過蜜罐技術捕獲到了一起黑產盜取商家 Token 并爬取訂單信息的攻擊行為。商家需授權第三方工具登錄電商平臺，而黑產團伙通過在第三方工具中植入后門，成功獲取到了多

19、個商家的登錄 Token，并利用拿到的 Token 批量請求訂單接口并爬取數據。為避免被發現，黑產利用了秒撥代理 IP 等黑產資源，不同商家使用不同的 IP。234、傳統行業數據泄露事件累計捕獲超 200 起，涉及 24 家國內外知名汽車品牌2022 年威脅獵人共監控到超過 200 起跟傳統行業相關的數據泄露事件，值得關注的是，汽車行業的數據泄露事件共涉及 24 家國內外知名汽車品牌，泄露數據包含車輛品牌、識別代碼、發動機號、客戶姓名、手機號、車牌號等敏感信息。其中泄露量級最高超過 270 萬條，黑產以平均單價 6.5 元在地下黑市進行交易。由于傳統行業數字化進展起步較晚，在數據安全建設中往往

20、存在防守的薄弱環節，其中 API接口存在安全缺陷是最為典型的薄弱環節，黑客利用未授權訪問、敏感數據過度暴露等 API安全缺陷，對 API 接口發起數據遍歷攻擊，批量竊取平臺的用戶數據或業務數據。以國內某大型企業的 API 攻擊事件為例：2022 年 12 月，威脅獵人情報平臺捕獲到了一起極為嚴重的傳統行業數據泄露事件。國內某大型企業的 API 接口存在敏感數據過度暴露的缺陷，黑產通過攻擊該接口獲取到了企業內部員工的姓名、身份證、手機號、住址、密碼等敏感信息（如下圖）。24黑產獲取到的密碼并非明文密碼，而是密碼 md5，但只要密碼復雜度不高，基本都可以通過彩虹表還原出原始的明文密碼。攻擊者可以利

21、用泄露的手機號和密碼，以員工的身份登錄該企業的 OA 系統，入侵內部網絡展開進一步攻擊，給該企業帶來難以預估的損失。注：想了解更多與 API 安全相關的數據泄露案例，可點擊查看 2022 年 API 安全研究報告。2504數據保護措施與建議26四、數據保護措施與建議在日漸嚴峻的安全形勢下，數據安全日益得到重視。2022 年，數據出境安全評估辦法、數據安全管理與保護指引、信息安全技術關鍵信息基礎設施安全保護要求等一系列數據安全的政策法規陸續發布，在數據安全、合規等方面提出了更明確的要求及實現路徑，這也增加了企業安全合規的壓力。2022 年 7 月,數據出境安全評估辦法審議通過，提出數據出境安全評

22、估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。2022 年 12 月，證券期貨業數據安全管理與保護指引發布，從數據安全管理基本原則、組織架構、制度、技術等方面提供指引，規范行業機構數據安全管理和保護工作，體現了數據安全對于證券期貨業的重要性和緊迫性。2022 年 10 月，信息安全技術關鍵信息基礎設施安全保護要求發布，規定了關鍵信息基礎設施運營者在識別分析、安全防護、檢測評估、監測預警、主動防御、事件處置等方面的安全要求?！熬W絡攻擊”高一尺，“數據保護”需再高一丈。面對越來越多的數據泄露風險，企業需要從多個維度保障企業及其用戶的數據安全，不僅要對內部數據資產狀況了如指掌，更需要基于外部風險情報監測來及早感知及時防御。27針對內部資產管理，威脅獵人安全專家建議企業在“業務優先”的基礎上，基于情報對已上線的 API 及 API 上流動數據資產進行整體梳理，實現對所有 API 資產及流動敏感數據的可視，再進行持續的 API 缺陷評估及攻擊威脅感知，實現 API 風險可控。針對外部情報監測，企業可通過全網多渠道監測及時感知數據泄露風險，在事件發生之前進行預防和阻斷，做到先于攻擊者發現攻擊面，利用對外部情報的監測更好地保護組織數字資產。兼顧數據安全內外部視角，做到內部數據安全與外部威情報監測相結合，企業才能在數字化建設與創新發展的道路上走得既穩又快。28