8★★★、私域群:需通过邀请链接/管理员同意后才能进入的群组,一般外部人员无法监测或进入该群聊。
威胁猎人数据泄露风险监测平台在Telegram数据交易群“黑客接单◆★◆■◆”中捕获到黑产发布■★◆★■“实时机票 未登记★■■◆★★”的敏感信息,包含了旅客姓名★■★■◆■、手机号◆■、身份证号、航班信息等各类敏感信息★★◆■◆。
第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中;
从数据泄露的类型来看◆◆◆■★,2023年泄露数据类型主要有3种:公民个人信息共计18347起(93◆◆★◆.68%)、敏感代码共计727起(3.71%)◆◆★★■■、敏感文件资料共计510起(2.6%)。
威胁猎人调研统计发现,在利益的驱动下◆■★◆,上游黑产窃取的数据类型发生了变化。
随着监管力度加大和市场风险上升,2023年9月,黑产交易宣传形式逐渐转换为以“纯消息类”宣传数据交易。
1、短信劫持格式的数据:包含短信内容■■◆◆,数据真实性方面基本确认为真实接受到短信通知的公民个人信息★★★■◆;
1★■◆■◆★.7.2 敏感资料泄露渠道以在线文库/云盘为主■◆◆■,主要由企业内部安全意识问题引发
威胁猎人研究统计发现★■◆■★◆,2023年公民个人信息泄露事件中的数据交易时间中,非工作日(周末、节假日)发生的事件数量高达31.21%,夜间发生的事件占比高达51.88%,超过一半。(夜间:18◆★:30至次日09★◆:30)
尽管数据此前已被买家用于作恶,二次作恶效果明显下降,但黑产中介会以较低的价格进行出售◆◆■★★,并以此牟利。
6、企业敏感资料:指企业的和敏感资料,包括但不限于合同、商业计划、财务报表★★■◆★◆、市场调研报告★★◆、客户列表等;
运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息;
截至2023年12月,威胁猎人数据泄露监测情报覆盖了Telegram近2万个频道/群聊,在超过1700个频道/群聊中发现公民个人信息泄露风险事件。
4◆◆■★、运用Apple提供的公开API以及一些自动化脚本工具,实现全自动检测号码是否注册iMessage、开通FaceTime来区分iOS用户等功能■■■,让数据更完整从而提升数据价值。
3、针对特定平台网站的用户,中介机构执行校验查询■★◆,对数据进行清洗并过滤无效手机号■◆★■■◆;
1■★◆★、2023年,全网监测并分析验证有效的数据泄露事件超过19500起,涉及金融■■★◆★◆、物流◆■◆、航旅、电商、汽车等20余个行业;
7、暗网:指隐藏的网络,普通网民无法通过常规手段搜索访问■◆,需要使用一些特定的软件、配置或者授权才能登录;
威胁猎人对暗网交易市场以及黑客论坛进行调研◆◆■■★◆,发现有超过45个暗网市场以及论坛需通过付费注册、积分解锁、充值会员、邀请码★■■、点赞回复■◆、升级VIP等方式进一步查看具体数据交易模块以及相关帖子内容■★★■,充值会员、付费查看信息的价格从数百美元至数千美元不等。
黑产交易者通过加密消息、暗号和私密聊天等方式与买家进行交流联络,更加隐蔽而难以被监管机构察觉◆◆。
企业敏感资料泄露事件发现超过510起,主要为企业内部安全意识问题引发★■◆★★,例如误上传到在线文库◆◆、云盘所导致。
3、公民个人信息◆★■★:指公民个人身份信息,包括但不限于姓名◆★★◆、身份证号码★★★■、出生日期◆■★■★、手机号码■★★★★、家庭住址、银行账户信息等★◆◆★★★;
从这类数据字段组合出现频率较高的原因来看,一方面下游黑产团伙可以基于完整的数据字段及公民画像信息,进行定向性作恶★■★■◆,使整体作恶成功率及收益更高◆★◆;
因数据泄露问题产生的影响及损失进一步扩大,对各行业关键领域造成严重影响。
此外,威胁猎人在代码仓库(如 GitHub、GitLab 、Postman等)、网盘文库等渠道也监测到了数据泄露事件。
1、数据泄露情报:威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用” 的情报信息,可能包含历史数据、重复数据等,往往量级巨大;
敏感代码泄露的内容类型上★★◆★■,以数据库账密、源码信息为主,具体包括内网、公网账号密码等■◆,由于涉及大量内部敏感信息,敏感代码泄露带来的影响和损失同样不容小觑。
进一步分析发现,该份旅客数据涉及多家航空公司,初步判定为多家航空公司的共有合作方泄露导致。据了解,航旅类用户个人信息的交易单价大部分在13-15元不等◆■◆★■■,其中最高达20元★★★。
2023年,金融行业依旧是个人信息泄露重灾区,数据泄露事件数量8758起★◆★★■■,涉及银行、保险、证券等行业高净值人群信息,主要源于下游黑产用于营销推广以及诈骗的收益价值更高。
著名的俄罗斯数据交易论坛■★◆★“russianmarket◆★”的网站访问需充值100美元进行注册:
4、历史个人信息:指此次数据泄露事件之前就已经泄露过的个人信息,很多历史个人信息被黑产收集整合成社工库■◆;
2.3 黑产交易数据形式逐渐由★■“数据文件类”转化为更隐蔽的“纯消息类■■■★★◆”宣传
威胁猎人安全研究员观察到,2023年因航班信息泄露而遭遇“退改签”诈骗的事件频发★◆,黑产团伙在精确获得乘客姓名◆★、证件号★◆★★◆、航班号等信息后,通过机票改签的方法实施网络诈骗,诈骗成功率较高■■◆■★★。
威胁猎人对公民个人信息贩卖情况调查后发现◆◆■,数据交易黑市存在历史数据信息被黑产中介进行二次整合■◆★★,并进行多次贩卖的现象。
1.7 2023年除公民个人信息泄露外,敏感代码、资料文件等信息泄露超1200起
其中,企业敏感代码泄露事件发现超过727起,主要集中在Github、Gitee等代码仓库平台■◆◆★■◆,占总体量的98.76%★◆■■■。
2023年威胁猎人监测到的数据泄露事件中,发生在Telegram及暗网的达92%以上,其中82.26%集中在Telegram,10◆◆★★■◆.01%发生在暗网,主要原因是 Telegram及暗网渠道的隐蔽性较高,难以追溯到黑产本人,是黑产沟通和交易的首选渠道。
3、从数据泄露渠道来看,主要集中在更加隐蔽和便利的匿名群聊★★◆◆■◆、暗网渠道;值得一提的是,公民个人信息泄露事件的数据交易时间中,夜间交易的超过50%,在非工作日交易的超过30%。
2、DPI格式的数据:主要为流量解析的数据■★◆,主要通过运营商侧获取到的流量数据,因此真实性较低,据威胁猎人调查统计,该类数据的线■■★、SDK格式的数据:主要通过解析软件包名信息,再提供到运营商侧获取下载流量■■,且存在应用市场软件刷量或未进行注册的用户信息的情况,因此线年黑产数据交易形势变化以及下游作恶新手法
1.6.1 包含★★◆“手机号★◆★◆★■”的公民个人信息泄露超过80%,主要用于精准营销/诈骗作恶
过去,黑产常常通过口令红包、支付平台转账等方式进行交易付款。由于这些付款方式易被追踪和控制,加上近年来司法机关对数据交易黑产团伙的严厉打击,导致数据交易的黑产团伙不得不改变交易付款方式,逐渐转向只采用加密货币进行支付◆■◆★■◆。
另一方面◆■◆◆,部分上游黑产团伙因技术手段受限■◆◆◆,仅能获取到“手机号”字段,黑产团伙会通过多种方法拼接个人信息、补齐数据字段信息,从而提高数据的价值★★◆。
以某金融行业为例,威胁猎人对金融行业2023年黑产数据交易宣传形式的变化趋势进行分析。2023年1月到8月期间★◆★■◆■,黑产交易主要以“数据文件类◆■■■◆”宣传为主,黑产交易者通过发布各类数据文件的样本和描述◆★,吸引潜在买家进行交易。
其中公民个人信息类型的数据泄露占比最高,达93.68%,作为下游黑灰产主要作恶的数据类型★★■,下文将针对公民个人信息数据泄露具体分析。
在市场监管及政策打击下,黑产数据交易的宣传形式变得更加谨慎,以更好地规避风控和保护自身利益。
2023年,各行业全面数字化,加速业务创新发展的同时★■■■★★,确保大量数字资产及云上业务的数据安全,成为不少企业面临的■◆◆◆◆◆“两难之境★■”。
1.6.3 公民个人信息在夜间交易的超过50%★◆◆,在非工作日交易的超过30%
5■◆★■、企业敏感代码■★★■■:指企业的核心代码、算法、技术★★、密码等敏感信息■■★■,具体包括软件源代码、数据库结构■◆★、API密钥、访问凭证、加密算法等★■■■★◆;
黑产对数据评估的维度主要有两个方面◆■,一是数据的时效性◆★,二是数据的准确性。
2、数据泄露事件:威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证★■★★,确认为真实★◆★■、有效的数据泄露事件◆■★;
在准确率方面:短信劫持格式的数据DPI格式的数据SDK格式的数据,具体原因如下:
从数据泄露的具体原因来看,2023年数据泄露原因包括运营商通道泄露★◆■、内鬼泄露、黑客攻击、安全意识问题等◆■。其中,因运营商通道泄露引发的数据泄露事件数量最多。
在准确性方面★◆:短信劫持格式的数据DPI格式的数据SDK格式的数据;
1.5 2023年“公民个人信息”依旧是数据泄露的主要类型★■★★◆,占比超90%
值得一提的是,航旅行业位列第三■◆■,成为数据泄露重灾区之一。随着新冠疫情好转,旅业回暖态势明显,消费需求得到强劲释放,机票信息★◆■◆、酒店信息等旅客信息数量也出现大幅增长。
威胁猎人对数据交易黑产进行深入调研发现,不同格式数据的准确性以及时效性均有所不同。主要为短信劫持格式、DPI格式◆◆、SDK格式的信息数据,据了解每日可稳定产生的数据量高达万余条★★◆■◆。
以某金融企业为例,其用户贷款信息等被泄露在某知名中文暗网上,泄露数据量级超过72000条■★◆■■,该数量仍在每日不断更新增加,黑产以199美元进行售卖,截至目前已成交2单,浏览超过2200次。
从金融细分行业来看,数据泄露事件数量发生最多的是银行业,全年共发生4293起★◆■,其次为网络借贷、保险★■、证券及支付行业。
为规避相关法律政策打击,大多数黑产团伙开始转向私域群进行交易,数据交易团伙也对自身的账号信息进行匿名隐藏。
公群会组织整理资源群、供需群、担保群等,承接项目需求及各项资源对接,在数据交易过程中进行担保。公群也会设置为单独的私域群,交易者通过邀请链接/管理员同意后才能进入。
据威胁猎人数据泄露风险监测平台数据显示★◆■,2023年全网监测到的近1.5亿条情报中,分析验证有效的的数据泄露事件超过19500起■◆★◆◆。
2023年公民个人信息泄露事件超18000余起,其中泄露信息字段包含“手机号■◆★★◆”的超过80%,主要被下游营销/诈骗团伙用于对相关手机号发送短信、电话营销等★◆★★■,进一步实施非法作恶行为。
威胁猎人对数据交易市场下游作恶团伙调研发现,2023年航旅行业出现大量黑产团伙通过机票改签的方法实施网络诈骗,诈骗成功率较高。
安全意识问题:企业内部员工在工作过程中,无意识间把公司内部的重要文件、文档、代码等★■◆■,上传到网盘文库、代码托管平台等公网环境,导致敏感信息泄露;
威胁猎人发布《2023年数据泄露风险年度报告》,对2023年数据泄露风险概况■■◆◆、黑产数据交易市场等进行具体分析◆◆★◆■,数据显示★◆◆■◆★:
威胁猎人针对该泄露数据样本进行验证后发现★◆,不同格式数据的准确率确实有所不同,结果与数据交易黑产描述的一致。
2◆◆◆◆■、金融行业超过物流行业,成为2023年公民个人信息泄露事件数量最多的行业◆◆■★;2023年航旅行业公民个人信息泄露事件数量也出现大幅增长,在公民个人信息泄露的行业分布中首次排名前三;
从行业分布来看,2023年数据泄露事件涉及二十余个行业,数据泄露事件数量Top5行业分别为金融◆◆◆★、物流、航旅、电商、汽车★◆。
敏感代码泄露的原因主要归结为企业内部员工安全意识问题、第三方合作泄露及外部黑客攻击◆■,这一点与公民个人信息类数据交易作恶的原因有所不同。
随着非法数据交易市场和黑客论坛逐渐走向公开化★■■■,为了提升访问门槛和增强平台安全性,同时实现更高的经营利润,越来越多的暗网论坛以及交易市场开始升级会员体系◆■★,使得更有价值的资源及互动需要付费成为会员才能获取和参与,普通用户仅能享受有限资源和受限互动。
Telegram渠道监测到风险事件最多的频道/群聊为私域群,威胁猎人在私域群累计发现超过1500起风险事件。
2023年数据泄露事件类型中■◆★◆■,除了公民个人信息之外■★◆■■,还有企业敏感代码◆■、敏感资料文件等信息类型。
2023年公民个人信息泄露事件中★◆★■,“姓名+手机号+身份证号+银行卡号”这类数据字段组合出现的频率最高,相关数据泄露事件出现近900起。
1.1 2023年监测数据泄露事件超19500起■◆, 金融、物流、航旅等行业是数据泄露重灾区
在防守最薄弱的时候,企业难以在数据泄漏事件爆发时快速感知■★■★、及时响应◆★,以至于错过最佳应对时机,给企业资金、品牌声誉及商业竞争带来重大影响■★◆■。
在时效性方面:DPI格式的数据SDK格式的数据短信劫持格式的数据。
内鬼泄露■★:企业内部员工在利益的驱使下,采用资料导出◆★■■、人工拍摄等方式◆◆◆■,获取客户敏感信息后进行售卖◆■■★;
上文提到,2023年威胁猎人监测到的公民个人信息泄露事件中◆■■★,82.26%集中在Telegram,10◆◆★■★◆.01%发生在暗网■◆◆★■★。作为公民个人信息泄露的主要渠道,我们将对Telegram及暗网进行进一步分析★◆◆■。
调查发现■◆■◆◆,黑客通过攻击渗透爬取该金融企业数据★◆★■■,如果企业未能及时感知数据泄露风险★◆■■★,缺乏有效的防御及处置措施,将会带来难以消弭的经济损失及品牌声誉影响。
首先◆■,黑产通过一些非法渠道获取初步的公民个人信息(如手机号),而后通过包含历史泄露信息的社工库等渠道,进行数据精细化处理◆★◆◆★★,补充数据字段完整性★◆■★,从而提升公民个人信息的价值及盈利空间■★◆◆■◆,具体方式包括◆■■■■■:
黑客攻击:外部黑客使用爬虫◆◆、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据◆■■◆◆■;
此外◆★■★★,为了加强渠道的可信度,确保数据交易顺利进行,一些黑产团伙会组建“公群”,相当于担保机构,如汇旺担保■★★★★◆、神马担保等。
飞天公众号
飞天手机站