永安在線：證券行業數據資產泄露報告（19頁）.pdf

《永安在線：證券行業數據資產泄露報告（19頁）.pdf》由會員分享，可在線閱讀，更多相關《永安在線：證券行業數據資產泄露報告（19頁）.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、0/20 !#1/20 前 由于前些年證券業各證券公司對數據保護不夠重視，內部數據安全管控體系不夠健全， 從造成量數據外泄，泄露渠道主要有內鬼泄露，滲透拖庫，客侵，撞庫攻擊等等。 近年來隨著各證券公司對數據保護日趨重視，政府監管部門也在積極推動數據保護相關的 法律法規落地，證券業數據得到有效保護，數據資產泄露源頭得到有效遏制。但正所謂上 有政策，下有對策，哪里有利益，哪里就會有灰產的存在。 證券業涉及到的多是凈值群，數據轉化率，變現能強，利益驅動著灰產員 不斷地更新現有技術，與證券公司和監管部門玩起了貓和老鼠的游戲。各種獲取證券業數 據的技術層出不窮，暗、Telegram 上每天都有交易證券業

2、數據，證券業用戶普遍都 能夠感受到自的數據被泄露。 在這里我們拋磚引，希望跟同業者起來探討證券業數據資產泄露的主要特點和發展趨 勢，以及對于證券業數據保護的些思考和建議，希望能夠引起證券業從業者的重視。 ! qRrPsNmRqQqNrPxOsPnMqQ6M8Q9PmOnNmOmNeRqQmNjMrQyR9PrQmRNZmNpONZrQzR !#2/20 目錄 前 . 1 、證券業數據資產泄露基本面 . 3 、證券業數據資產泄露發展變化及趨勢 . 11 三、證券業數據資產泄露和交易的產業鏈 . 13 四、真實案例解析 . 14 五、數據保護措施和建議 . 16 1. 內部系統使用強密碼并定期修改

3、 . 16 2. 數據進分類管理 . 16 3. 加強員絡安全意識 . 16 寫在最后 . 18 $ !#3/20 數據資產泄露已經成為各業安全問題的風險源頭，近年來數據資產泄露事件逐年增多、危 害范圍不斷增。其中，證券業數據歷來都是灰產員重點攻擊的對象，是數據資產泄 露的重災區。 變化在于，近年來，隨著各證券公司對數據保護的日趨重視，采取“積糧，筑墻”的防 守策略，傳統的內鬼泄露、滲透拖庫等數據資產泄露渠道已經很少出現，站/APP 泄漏用 戶訪問記錄、第三短信通道泄露等式成為當前主流。 與此同時，隨著政府監管日趨嚴厲，數據保護相關法律法規日趨完善，灰產交易數據愈加 謹慎，證券數據中有關用戶身

4、份信息的交易數據也產了不少變化。 、證券業數據資產泄露基本面 根據權威媒體發布數據統計，近年來數據資產泄露風險態勢愈發嚴峻，事件數、影響數和 企業損失呈現逐年增長趨勢。 通過永安在線數據資產泄露風險監測平臺統計，2020 年今捕獲到數據資產泄露事件超過 20000 起，包括融，互聯，政府，教育等等乎涉及到活中各個領域，具體分布如 下： !#4/20 從上圖可以看到，融業是數據資產泄露的主要來源，占到了 42%，數據資產泄露發 的互聯業也只排名第，占 27%。出現這種情況是因為融業涉及到的群多是 凈值群，數據轉化率，變現能強，灰產員選擇攻擊的業多是融業，部 分購買數據的需求也集中在融業。哪里有利

5、益，哪里就會有灰產員的存在。 將融業數據資產泄露進細分，見下圖： !#5/20 通過上圖可以發現，在融業中，貸業數據資產泄露最多，數據資產泄露的格式包含 姓名、電話、地址、身份證號碼等用戶敏感信息。泄露的主要原因有兩點： ! 近年來隨著政府融政策收緊，監管日趨嚴格，很多貸平臺出現暴雷、清盤、關停、倒 閉、跑路的情況，但這些平臺留下的用戶數據卻處于失控狀態； ! 中小型貸平臺軟件和系統建設部分采用第三外包形式開發，這些公司開發員安全 意識淡薄，數據缺乏有效的安全防護。 關于貸業這里不做過多探討，重點來分析下占比為 23%，排在第位的證券業數據 資產泄露的主要特點和發展趨勢。 !#6/20 根據永

6、安在線數據資產泄露監測平臺捕獲到的數據泄露情報，我們對證券業數據泄露渠道 進統計，發現來自外部的信息泄露占比為 65%，內部原因泄露占比為 35%。證券業數據 泄露主要是由于運營商泄露、短信通道泄露和第三投資顧問公司等外部原因泄露，運營商 泄露和短信通道泄露已經成為近些年來不可忽視的泄露渠道。由于內部管控疏忽，內部員 不小將內部敏感件和敏感代碼上傳到在線盤庫、代碼托管站的事件也屢有發。 從證券公司角度來說，這些渠道都需要進監控。 接下來看下所有業數據資產泄露的量級分布： !#7/20 從上圖可以看到所有業數據資產泄露的量級集中 10 萬以下和 10 萬到 100 萬這個兩個區 間，分別占到 3

7、4%和 40%。 再看下證券業數據資產泄露量級分布： !#8/20 從上圖可以看到，證券業數據資產泄露量級集中在 10 萬以下和 10 萬到 100 萬這兩個區間 內，分別占到 68%和 24%。從數據類型上來看，10 萬以下量級的數據主要運營商數據，格 式為機號+運營商+證券商+省份+城市；10 萬到 100 萬量級的數據主要是內部用戶數據， 格式為姓名+資賬戶+證券賬戶+機號+身份證號+資余額+營業。 通過分析，主要有以下兩個原因： ! 政府相關部門嚴厲打擊，導致灰產員越來越謹慎，交易數據量級越來越小，數據中不 再包括用戶姓名、身份證號等敏感數據； ! 隨著證券業內部數據管理日趨規范，灰產

8、員再想通過之前的內鬼泄露、滲透拖庫、 客侵、撞庫攻擊等辦法獲取到百萬級甚千萬級賬戶數據的技術難度越來越。在上 圖的數據中有個特別吸引關注的“每日更新數據”，雖然其只占據了 8%的比例，但根據 我們了解如內鬼泄露、滲透拖庫、客侵、撞庫攻擊等式很難做到每日更新，只有通 過運營商、運營商第三代理或者第三短信通道才有能做到每日更新，這也從個側 面印證了我們的判斷：目前灰產員獲取證券數據的辦法不再跟從前樣，是另辟蹊 徑通過運營商、第三具或者第三短信通道獲取證券用戶數據。 !#9/20 接下來對所有業和證券業的數據和數據做下對比，其中數據指的是第 次被販賣的數據，數據指的是被多次販賣的數據。 所有業數據和

9、數據對比： 從上圖可以看到所有業數據資產泄露的數據比例比數據比例 14%，主要原因有 以下兩點： % 隨著全業對數據保護的越來越重視，內部系統安全性越來越，導致灰產員獲取 數據的技術成本越來越。 % 政府相關部門嚴厲打擊，導致灰產員獲取數據的安全成本越來越。 數據泄露這件事細分到證券業，情況就有所不同了。證券業的數據占到了 78%，遠 于數據占比。這里的數據占比雖然與全業之間有很的差別，但與證券業數據需 求的特性卻是分匹配的。由于證券業數據講究時效性，數據涉及到的是凈值員，這 些數據被獲取后般用來精準營銷、精準詐騙、或者進次販賣，未開發的用戶價值遠 !#10/20 于已經開發過的用戶價值，所以

10、數據的價值遠于數據。巨額利益驅動著灰產想 盡辦法去獲取證券業數據，購買數據者也希望得到數據，這樣才能產最效 益。 既然在產的交易過程中對數據的真實性有定需求，那么我們從數據的真實性角度再進 次分析對比。 根據統計得知，證券業數據真實數據占比 12%，雖然真實數據占比不，但是從數據安全 角度來講，這些數據以對家證券機構造成重經濟損失。再看下證券業假數據和偽裝 數據，分別占 69%和 19%，假數據和偽裝數據格式部分都是姓名+資賬戶+證券賬戶+ 機號（+身份證號+資余額+營業部）這種賬戶數據。 這里對偽裝數據做個說明，目前證券業很多泄露數據里面的用戶信息部分，包括姓名，身 份證號，機號，經過我們驗

11、證是真實數據，但是我們通過跟相關證券公司內部員進確 認，發現這些并不是證券公司的真實用戶。也就是說目前灰產員為了獲取利益，要么 通過假數據進交易，要么通過精偽造數據進交易，且占比很，說明目前通過傳統 段，如內鬼泄露，滲透拖庫，客侵，撞庫攻擊等獲取到證券業數據的技術難度越來 越，成本越來越。這讓他們不得不另辟蹊徑去獲取證券業數據。 !#11/20 、證券業數據資產泄露發展變化及趨勢 通過前的分析可以發現，隨著政府監管越來越嚴厲，證券業各公司內部系統安全性越 來越?，F在很多的灰產員已經很難通過傳統段：如內鬼泄露、滲透拖庫、客 侵、撞庫攻擊等去獲取證券業數據。主要原因是風險太，技術成本太。目前整個證

12、券 業泄露類型主要有： 運營商數據：機號（+姓名+省份+城市+運營商） 賬戶數據：姓名+資賬戶+證券賬戶+機號（+身份證號+資余額+營業部） 第種數據來源主要是運營商，第三具和第三短信通道商泄露，第種數據來源主要 是內鬼泄露、滲透拖庫、客侵和撞庫攻擊。在對第種數據類型進驗證的時候，我們 發現基本都是虛假數據，說明灰產員已經很難再向從前樣直接拉取券商的數據庫數據 或者內部運營數據了。 回到第種數據類型，在暗和 Telegram 上我們發現證券業的數據資產泄露每天都有更 新，通過對這些數據進步挖掘和驗證，發現目前灰產員獲取證券數據的主要渠道有： ! 用戶上訪問客戶站/App 的記錄被運營商泄露 !

13、 用戶數據被第三具泄露（包括第三炒股軟件、第三 SDK、數據分析軟件等） ! 券商下發給用戶的短信被第三短信通道泄露 數據格式如下： !#12/20 !#13/20 可以看到，灰產員已不再局限于通過傳統技術段獲取用戶數據，根據永安在線的調 研，目前已發現三種泄露渠道： % 通過與運營商或者運營商第三代理合作，拿到運營商數據，然后通過指定平臺進數據 抓取，我們可以這樣來理解：當用戶發上為時，會產上流量，運營商能夠拿到 用戶的上流量，可以通過用戶機號-設備-流量（訪問址）對應上，然后通過內鬼或 者某個接泄露到第三“數據營銷”公司之類去賣，數據格式包括機號+省份+城市+ 運營商?；耶a員通過上流量與某

14、證券公司官地址進對比，就能夠確認該用戶訪 問過某證券公司官，再進步進過濾，比如天內多次訪問，或者直接拿某證券登錄 注冊接進比對，就能夠準確知道是某證券公司的用戶。 % 通過第三具（包括第三炒股軟件、第三 SDK、數據分析軟件等）獲取用戶數據， 隨著移動互聯時代的到來，很多券商公司、投資公司或者炒股軟件都會開發移動端的應 用，在開發的過程都不可避免的用到各種第三 SDK、數據分析軟件等具，灰產 則可以利用其中的漏洞或者脆自開發并在其中留下后門，獲取用戶機號跟訪問站 信息。 % 通過與第三短信通道服務商合作，攔截獲取用戶短信內容，再通過分析短信內容，可以 明確知道與某券商平臺有關，從知道該用戶是某

15、券商平臺真實用戶。我們預計這三種模 式將會是未來段時間內灰產員的主要獲取數據模式，各證券公司需要引起重視。 三、證券業數據資產泄露和交易的產業鏈 我們發現，圍繞數據資產泄露和倒賣的產業鏈已經相當成熟，且基于明確的分和定位 分為上、中、下三游。 !#14/20 上游：數據竊取團伙，如公司內鬼、客、運營商、運營商第三代理、短信通道服務商 等。 這些專門負責從公司的內部和外部尋找獲取數據的渠道并竊取數據。在數據越來越值錢的 當下，巨的利益和極低的犯罪成本驅動著上游的數據竊取者甘愿鋌險。 中游：數據中間商，部分活躍在暗、產論壇、Telegram、Potato 等平臺。 這些負責在各種不同平臺上發帖賣數

16、據，同時負責對數據進分類清洗，根據客戶不同需 求場景售賣數據。由于政府監管壓的增，尤其是 2019 年凈動打擊并關停了多家知 名暗后，迫使數據中間商轉移到更加隱蔽的平臺，比如服務器在國外且具有雙向數據加密 的聊天軟件 Telegram、Potato 等。 下游：數據購買者，包括電話營銷公司、詐騙團伙等。 這些購買數據后，般會進精準營銷、精準詐騙等。并可能在數據被利用完后次倒賣 這批數據，或者與其他產團伙交換數據。近些年來，下游數據購買者對精細化的數據需求 越來越，如寶媽數據、留學數據、股民數據、貸用戶數據、車主數據、學數據、 企業老板數據等等。他們利用這些精細化數據進精準營銷或精準詐騙，成功率

17、要比撒式 營銷或詐騙很多。例如使用寶媽數據營銷母嬰產品；使用留學數據，利用國內外時差對 其母進詐騙；使用股民數據進薦股詐騙等等。下游需求的變化直接驅動上游和中游 灰產員利用各種技術段去獲取各各業用戶的數據，并根據客戶不同需求對數據進整 理細分，進販賣。 四、真實案例解析 近期，永安在線與某證券公司合作時，幫助該公司發現了條重要數據資產泄露渠道。通過 段時間的調查研究，我們發現目前非法數據交易的主要平臺集中在些暗和 Telegram 群，且這些平臺上每天都會有新的數據資產泄露，我們將這些平臺都納到了永安在線數 據資產泄露風險監測平臺中進監控。 雖然在此后近個月泄露數據的分析中，并未直接發現該證券

18、公司的數據存在直接的泄露。 但相關融證券面的數據資產泄露卻每天都有更新。通過對這些數據進步挖掘和驗證， 我們發現了條重要線索，就是可以指定灰產員中所說的“臺”，即平臺，包括址 !#15/20 和 APP，比如說某證券公司的官 ?；耶a員可以獲取到訪問過該證券公 司官的用戶機號碼，有些還可以獲取到用戶姓名、運營商、省份、城市、機號碼等相 關數據。 通過對比我們發現，暗和 Telegram 上量的證券數據基本上都是這種格式。能夠提供 證券公司數據庫數據，內部運營數據（包括賬號密碼，證券賬戶，資交易明細等），采用 滲透拖庫或者內鬼泄露這種式少之又少，且成本，操作難度。即便有這種數據，通 過我們的驗證，

19、發現也都是精偽造過的虛假數據。 所以我們基本可以判定該證券公司的數據是通過指定平臺進數據抓取的式泄露出去的， 泄露的源頭應該是在運營商。我們可以這樣來理解：當用戶發上為時，會產上流 量，運營商能夠拿到用戶的上流量，可以通過用戶機號-設備-流量（訪問址）對應 上，然后通過內鬼或者某個接泄露到第三“數據營銷”公司之類去賣，包括機號+省 份+城市+運營商?；耶a員通過上流量與該證券公司官地址進對比，就能夠確認 用戶訪問過該證券公司官，再進步過濾數據，比如天內多次訪問，或者直接拿該證券 公司登錄注冊接進比對，就能夠準確知道是該證券公司的用戶。 !#16/20 獲取到驗證數據后，經過該證券公司內部員的確認

20、，證實是當天訪問過該證券公司官的 員，由此我們可以斷定該批數據資產泄露的源頭在運營商或第三運營商代理。該證券公 司泄露的數據全部是聯通和電信機號，些數據賣家明確表示只支持聯通和電信，或者移 動和電信，也可以從側面證明這些賣家是直接與運營商合作，或者是運營商第三代理機構 合作，去購買運營商數據流量，再通過進步數據分析得出該用戶就是某證券公司的真實用 戶。 五、數據保護措施和建議 我們認為，數據資產保護應從內外兩部分著。在內部，先要保證“”的渠道安全，畢竟再 復雜的外部防御段，也難以防重要信息被為的泄漏，因此在這面，企業要加強數據 安全管理，制定切實可的系統保密措施，加強員絡安全意識 。 1. 內

21、部系統使用強密碼并定期修改 內部系統設置密碼盡量復雜，并且不同的系統設置不同的密碼。面對密碼復雜繁多不容易記 憶的情況下，我們可以制定不同的規則，比如：密碼=系統名稱+物品+寫+數據+標志 等。既有定的規則容易記憶，又能保證每個系統密碼的不樣。 此法有效的防范了 客拖庫、撞庫等常用段。 2. 數據進分類管理$ 應仔細檢查信息的分類并制定資料分類策略，注意哪些是正式員可以看到的看似害也可 能會導致敏感數據資產泄露的信息。企業的安全策略應遍布企業的各個地，所謂職位 的低。資料數據的分類策略將幫助企業，實施對信息使用的正確控制，如果沒有分類策 略，所有的內部信息都應被視為保密，除非另做指定。 3.

22、加強員絡安全意識$ 每個員，甚是不使用計算機的，都有可能成為攻擊者的目標。公司新近雇用的員 則是社會程師最容易突破的薄弱環節，企業的安全培訓和安全策略務必要加強這面的注 意，正確的教育和培訓，將會極的提升員正確處理企業內部信息的意識。定期舉安全 意識培訓，加強員的安全意識，使每個員都認識到，不僅是上司或管理員擁有攻擊者 想追尋的信息。當個知道公司辦事程序、專用術語和內部標識的打來電話時，并不意味 !#17/20 著他或她就可以知道所查詢的信息，對可能是公司以前的員或是知道公司內部般情況 的合同。 在外部，需要實時關注各暗、云端盤、在線庫、代碼托管、Telegram 群、Potato 群、Q 群

23、、各灰產論壇等平臺上數據泄露情況，時刻關注是否有跟自公司相關的數據 泄露，第時間發現并解決數據資產泄露問題，從將損害和影響降低到最小。永安在線數 據資產泄露風險監測平臺，實時監測各暗、盤庫、代碼托管、群聊論壇等渠道，基 于海量數據資產泄露風險情報，能夠幫助客戶第時間發現數據資產泄露情況，迅速預警客 戶并同步驗證數據，確實風險事件是否真實存在，定位風險后，提供溯源服務配合企業調 查，并將為客戶提供最專業的解決案，幫助客戶迅速地發現、準確地定位、有效的解決數 據資產泄露問題，將數據資產泄露帶來的風險和危害程度降到最低，助企業實現數據合 規。 永安在線數據資產泄露監測平臺概況 ! !#18/20 寫

24、在最后 2019 年 12 月 1 日，國家市場監督管理總局、國家標準化管理委員會發布的包括信息安全 技術絡安全等級保護基本要求、信息安全技術絡安全等級保護測評要求、信息 安全技術絡安全等級保護安全設計技術要求在內的等保 2.0 制度開始實施。隨著相關制 度的落地實施，政府監管單位對證券業數據保護的要求會越來越，在信息安全技術 絡安全等級保護測評要求中，更是首次提出了對“威脅情報檢測系統”和“威脅情報庫”的 要求。 2018 年，證券公司 A 因發較信息安全事件，被監管機構依據證券期貨業信息安全保 障管理辦法第四條相關規定，采取出具警示函的政監管措施，并要求該券商對信息 安全相關問題進全面自查，提信息安全保障管理和信息安全事件應對平。同時加系 統監控、測試環境、專家資源等信息安全投，提系統運維保障能和故障排查能。 2019 年，證券公司 B 因某營業部將客戶的自備計算機接了營業部絡，被監管機構依據 證券期貨業信息安全保障管理辦法第五條，采取對該營業部出具警示函的監督管理措 施。 以上實例都表明，我國融監管制度日益完善，監管措施趨嚴。在此背景下，證券經營機構 只有充分認識到數據保護的全覆蓋性與緊迫性，結合業相關法規，不斷完善更新合規控制 點，全面提企業絡安全合規平，規避合規風險才能保證企業穩健發展。