《威脅獵人：2023年Q2數據資產泄露分析報告（25頁）.pdf》由會員分享，可在線閱讀，更多相關《威脅獵人：2023年Q2數據資產泄露分析報告（25頁）.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、12目錄Contents一、2023 年 Q2 數據泄露風險概況.5二、航空行業數據泄露風險洞察.10三、2023 年 Q2 值得關注的數據泄露案例.141、1 萬+家企業用戶短信泄露，涉及金融、物流等行業.132、黑產掃號攻擊成人教育機構，批量爬取用戶手機號.143、企業 GitLab 設置不當，重要代碼等敏感數據遭泄露.154、企業語雀文檔設置不當，導致服務器賬號密碼泄露.185、快遞公司管理系統信息泄露，涉及大量客戶敏感數據.186、教育機構員工誤傳文件至外網，導致員工信息泄露.19四、數據保護建議.233前言數據安全是數字經濟發展的重要課題。長期來看，數據安全相關法律法規陸續出臺和細化

2、，今年 7 月 6 日國家公安部在維護國家網絡和數據安全工作的新聞發布會上又提出“強化落實數據安全保護工作，為數字經濟發展保駕護航”的要求，可見數據安全治理從監管法規落實到攻防實戰是趨勢；短期來看，企業一旦發生數據泄露，不僅品牌聲譽會受損，還可能面臨監管追責、法律處分或巨額罰款。威脅獵人一直致力于業務反欺詐和數據安全的研究，基于多年沉淀的情報能力，持續關注和分析各行各業數據泄露態勢、重點案例和攻防技術，并給出防御建議。近期，威脅獵人發布2023 年 Q2 數據資產泄露分析報告，數據顯示，2023 年 Q2 數據泄露情況不容樂觀：1）Q2 數據泄露形勢相比 Q1 更為嚴峻，2018 起數據泄露事

3、件發生，涉及 52 個細分行業，數據類型包括用戶信息、敏感代碼等；2）Q2 數據泄露事件發生的原因多種多樣，有企業內部原因，比如 API 存在缺陷被黑產攻擊爬取數據、員工誤將敏感信息外傳等；也有外部原因，比如供應鏈泄露、短信渠道泄露等；3）Q2 發生了多起大規模的航空行業數據泄露事件，五一、端午等出行高峰期間，黑產圍繞航空行業的攻擊增多，共監測到有 33 家國內航空公司和旅游平臺遭受攻擊并泄露了用戶信息。401數據泄露風險概況015一、2023 年 Q2 數據泄露風險概況1、捕獲 2018 起數據泄露事件，是 Q1 數據的兩倍2023 年 Q2，威脅獵人風險情報平臺監測到數據泄露相關情報 54

4、00 多萬條，通過情報專家進一步篩選、驗證和分析，梳理出有效的數據泄露事件共計 2018 起，是 Q1 的兩倍之多；縱觀 2023 年上半年，數據泄露事件整體呈上升趨勢。威脅獵人進一步分析發現，Q2 發生的數據泄露類型主要為用戶信息，占比超 90%，此外還有敏感代碼、內部員工信息等。2、物流、金融行業是數據泄露重災區，供應鏈泄露是主要原因從行業分布來看，Q2 數據泄露事件涉及物流、借貸、銀行、保險、證券等 52 個細分行業，其中物流和金融行業依舊是重災區。此外，隨著旅游行業復蘇，人們的出行量在 Q2 大幅度6增加，黑產圍繞航空行業的攻擊隨之增多，相關的風險事件頻發，本報告第二章節會重點盤點航空

5、行業數據泄露風險態勢。威脅獵人情報專家對泄露事件進行歸因分析，發現有 41.18%的數據泄露事件由供應鏈問題導致，原因是供應鏈環節有很多中小型企業，這類企業對于數據安全管理投入成本低甚至沒有，是黑產重點攻擊對象，與之合作的甲方企業數據安全很難得到保障；其次是人為拍攝泄露，占比為 22.12%，主要集中在物流行業。73、Telegram 依舊是主要數據交易渠道，具備隱蔽性受黑產青睞威脅獵人風險情報平臺監測到的 Q2 數據泄露事件中，超過 80%的事件交易和溝通在匿名社交軟件 Telegram 發生，原因是 Telegram 具備隱蔽性，難以追溯到黑產本人，是黑產溝通和交易的首選渠道。此外，在暗網

6、、代碼倉庫（如 GitHub、GitLab、Postman、bitbucket、coding 等）、在線文庫（百度文庫、豆丁文庫、語雀等）、在線網盤（百度網盤等）等渠道，也監測到了數據泄露事件。8除 TG、暗網等渠道外，在線文庫、網盤等渠道同樣需要企業重點關注，雖然有關事件數不多，但是大多數事件泄露了內部機密信息，對企業的影響重大。902航空行業數據泄露風險洞察10二、航空行業數據泄露風險洞察今年旅游市場復蘇，國內國際航班火爆，黑產圍繞航空行業的攻擊也在增多。2023 年 Q2，威脅獵人風險情報平臺監測到航旅行業風險情報 173586 條，涉及 82 起數據泄露風險事件、33 家國內航空公司和

7、旅游平臺，主要為航空用戶信息泄露。通過對 Telegram 的監測信息來看，2023 年 Q2 黑產針對航空行業的討論增多，出現了大量求購“未起飛航空數據”的消息、多個發布“某某航空數據”的數據交易群等。11注：TG 上發布的求購“未起飛航空數據”的消息關于數據交易情況，威脅獵人情報專家了解到黑產在售的航空數據交易單價一般在 13-15元，有的數據售價甚至飆升到了 20 元，這些數據包含用戶姓名、城市、年齡、手機號、身份證號、實時航班、客戶等級等信息，基于此詐騙團伙能高效實施詐騙。Q2 出現了很多“不法分子利用航空數據詐騙”的新聞事件，因為被騙民眾多、影響范圍廣，已引起國家反詐中心的關注：“詐

8、騙人員偽裝成航空公司工作人員，發送“航班取消”等虛假短信給航空公司用戶，用戶情急之下撥打短信內附的詐騙人員電話，并在詐騙人員的引導下下載 APP，填寫銀行卡號、驗證碼.,一步步陷入詐騙團伙精心編造的詐騙迷局，直到收到扣款短信，才意識到自己被騙了，相關航空公司面臨投訴和監管追責?！惫溞孤妒呛娇招袠I數據泄露的主要原因，這一點跟全行業的情況一致。下方以“多家航空公司共同供應商數據泄露事件”為例：今年 5 月，威脅獵人在 Telegram 一個名為“接單”的數據交易群內捕獲黑產出售“實時未起飛機票數據”，泄露量級高達每日數千條。12注：TG 數據交易群發布的航空數據，已打碼處理威脅獵人情報專家對數

9、據樣本進行分析，初步推測是多家航空公司的共同供應商環節導致的數據泄露。為進一步求證，威脅獵人情報專家得到涉事航空公司的授權后，采用社會工程學方法深入調查數據發布者，同時聯合多家航空公司配合調查數據流轉過程，確定數據泄露是由某機票代理商導致。找到數據泄露的原因后，多家航空公司緊急切斷了與涉事機票代理商的合作，同時要求其他供應商進行內部安全檢查和整改。后續威脅獵人也了解到，賣家不再能獲取到以上航空公司的“實時未起飛機票”數據。1303數據泄漏案例14三、2023 年 Q2 值得關注的數據泄露案例1、1 萬+家企業用戶短信泄露，涉及金融、物流等行業2023 年 Q1，發生了多起短信泄露事件，其中有一

10、起事件涉及企業 1000+家。到了 Q2，短信泄露事件仍然很多。2023 年 5 月中旬，威脅獵人風險情報平臺在 Telegram 監測到多個群聊和頻道在出售 2023 年短信數據，黑產每日發布數據量高達 300 萬條，涉及企業超過 1 萬家，覆蓋金融、零售、汽車、互聯網、物流、電商等多個行業。注：黑產發布“短信泄露數據”消息在獲得涉事企業的授權后，威脅獵人展開溯源，查詢發現泄露短信中提到的快遞單號等信息真實存在，暴露的手機號、姓名也能和實名信息完全對應。為確定泄露源，威脅獵人情報專家分析了黑產發布的數據樣本，發現文件修改者為“校對部”，推測該起事件的起因是某短信通道商員工作案，并配合企業進行

11、溯源，最終定位泄露數據的短信通道商。15威脅獵人情報專家建議企業選擇正規短信代理商，并要求代理商依據個保法要求對數據保護、加密、脫敏。2、黑產掃號攻擊成人教育機構，批量爬取用戶手機號今年 6 月，威脅獵人風險情報平臺監測到，黑產對多個成人教育機構的登錄接口進行掃號攻擊，以此批量獲取教育平臺用戶手機號。注：黑產掃號爬取到的教育行業用戶手機號威脅獵人得到某教育機構的授權后，以該機構為例展開溯源，發現平臺的賬號登錄接口 存在“錯誤提示不合理”的缺陷，黑產批量攻擊該接口，在接口請求體中傳入手機號，再根據顯示的響應體進行過濾，從而篩選出注冊過該平臺的手機號。如果傳入的手機號未注冊，響應體如下：code:

12、105,msg:您的手機號還未注冊，請先注冊 16如果傳入的手機號已經注冊，響應體如下：code:105,msg:密碼錯誤 威脅獵人進一步分析攻擊流量，發現攻擊者 IP 來自于河北省保定市，IP 分布情況如下表所示：在定位到問題之后，該教育機構將賬號登錄接口的錯誤提示修改為“用戶名或密碼不正確”，同時限制攻擊 IP 訪問，后續黑產不能再通過掃號獲取到該機構的用戶手機號。威脅獵人情報專家也建議企業全面梳理 API 資產，及時發現和修復缺陷 API，重點監測 API 調用量過大、頻率過高等異常行為。3、企業 GitLab 設置不當，重要代碼等敏感數據遭泄露17GitLab 是一個常用的代碼與文檔管

13、理工具，儲存有企業的重要代碼和文件，是威脅獵人風險情報平臺監測的重點渠道。近期，威脅獵人監測到某企業的 GitLab 項目支持任何人訪問敏感文檔、重要代碼和數據庫連接信息。威脅獵人預警該企業，企業立刻展開調查，這才發現 GitLab 項目設置開放公網訪問，同時項目的可見范圍設置是 Public，如此一來，任何人都能訪問 GitLab 項目，導致代碼等重要資產泄露。注：泄露的 Gitlab 項目在 GitLab 創建項目的時候，項目的可見性可以設置為 Private、Internal 或 Public，如果將項目設置為 Public，同時 Gitlab 又暴露在公網，有重要代碼、敏感文件泄露的風

14、險：Private：得到授權的用戶，才能查看這個項目Internal：登錄賬號的用戶，都能查看這個項目Public：未登錄賬號的用戶，都能查看這個項目18注：GitLab 項目“可見性設置”選項同理還有 Postman（一個用于構建和使用 API 的平臺），如果可見性設置不當，也會泄露內部 API 甚至是系統的賬號密碼。注：Postman 泄露企業內部 API 的案例威脅獵人情報專家建議，企業存放重要代碼、API 的系統，需要內部 VPN 訪問或者限制 IP白名單，同時定期審查系統，一旦發現問題要及時修復。案例中的企業根據建議，將 Gitlab應用設置為需要 VPN 才可以訪問、可見性設置從

15、Public 改為 Private，及時阻斷代碼等重要資產大范圍泄露。194、企業語雀文檔設置不當，導致服務器賬號密碼泄露語雀是一個在線文檔編輯與協同工具，企業常用于管理內部知識庫，一旦泄露可能暴露企業敏感信息。Q2 威脅獵人風險情報平臺監測到，某企業記錄服務器賬號密碼的語雀文檔任何人都可以訪問，原因是內部員工失誤，將文檔的分享范圍設置為“互聯網所有人可訪問”。文檔內容包括 VPN、堡壘機、測試服務器、正式服務器、數據庫的賬號、密碼、登錄地址等機密信息，基于此黑產能順利進入企業內部服務器，實施竊取機密文件等惡意行為。注：企業記錄機密信息的語雀文檔泄露威脅獵人情報專家建議，企業機密信息盡量不記錄

16、在在線文檔，如有必要，一定要使用安全的平臺并限制訪問范圍。案例中的企業找到文檔泄露原因后，下架了相關在線文檔，同時借助威脅獵人全網搜索該文檔內容是否擴散至其他網站。5、快遞公司管理系統信息泄露，涉及大量客戶敏感數據20今年 5 月底，威脅獵人風險情報平臺監測到 Telegram 上有黑產發布某快遞公司內網管理平臺的圖片，圖片中關于客戶姓名、手機號、地址、下單時間、單號等敏感信息清晰可見。注：快遞公司內網管理平臺信息泄露，已打碼處理該快遞公司根據圖片樣式，初步推測是內部員工拍攝泄露的內網信息。為進一步縮小“作案者”范圍，快遞公司拉取了具備該頁權限的員工列表并查看相關員工日志，結合威脅獵人捕獲的信

17、息跟社工學方法，最終確定“作案者”是一個外包員工，該員工為賺取外快，偷偷通過“獲取快遞信息”的 API 接口批量爬取用戶信息，拍攝照片賣給黑產。對此，威脅獵人情報專家建議，企業應當加強數據跟人員角色的匹配，完善數據資產的訪問監測與審計機制，避免內部員工的誤操作或“內鬼”行為導致數據泄露。6、教育機構員工誤傳文件至外網，導致員工信息泄露21通過威脅獵人的在線搜索功能，輸入企業關鍵詞，能查詢到與之相關的數據泄露線報?；诖?，威脅獵人發現某教育機構員工的用車行程單和身份證信息暴露在外部網站，信息包含員工姓名、手機號、身份證等敏感數據。注：教育機構員工行程單泄露，已打碼處理威脅獵人將消息反饋給該機構，

18、該機構通過跟相關員工溝通，確定是財務不小心將報銷用的行程單和發工資用的身份證圖片上傳到了外部網站，導致員工信息泄露。最后，該教育機構借助威脅獵人的數據泄露處置能力，快速下架暴露在外的敏感信息，及時阻斷風險擴大。2204數據保護建議23四、數據保護建議縱觀 2023 年 Q2 數據泄露事件整體情況，導致企業數據泄露的發生既有企業內部安全管控不當的問題，如 API 存在安全漏洞易被黑產惡意利用、內部員工誤操作或“內鬼”將敏感信息外傳等，也有外部供應鏈安全建設不足、黑產攻擊手法多樣難對付等原因。魔高一尺道高一丈，面對越來越多的數據泄露風險，企業也需要“內外兼治”，通過內部安全管控建設和外部威脅情報監

19、測相結合的方式，加強數據安全保護體系，及時發現和阻斷數據泄露風險，切實保障企業在數字化發展過程中數據安全合規和業務健康發展。對內：加強數據安全建設一方面，企業在“業務優先”的基礎上，加強內部 API 安全建設，解決 API 不可視、可控兩大問題?？赏ㄟ^ API 安全管控平臺梳理 API 和流動數據資產，實現 API 資產的可視；并借助情報主動識別未授權、越權訪問等 API 缺陷，以及掃號、數據爬取等攻擊威脅，實現 API 風險的整體可控，快速建立有效的 API 安全防線。另一方面不斷加強內部管理，建立和完善相關規章制度，并開展數據安全培訓、科普相關法律法規，培養員工的安全意識和素養，盡量避免甚至杜絕員工問題引發數據泄露的可能。對外：及時監測風險情報24通過引入外部風險情報，及時監測外部攻擊風險，企業可通過威脅獵人風險情報平臺，全網監測黑產的數據交易渠道、敏感文件和代碼的外發渠道等，及時感知與企業相關的數據泄露風險，避免大規模數據泄露影響業務正常發展，利用外部情報監測更好地保護企業數據資產。做到內部數據安全和外部威脅情報監測兩者結合，企業才能在數字化建設與創新發展的道路上，走得又快又穩。25