来源时间为:2023-07-27
今年二季度数据泄露事件2018起,比一季度增加一倍,涉及52个行业威胁猎人
关注2023-07-2717:27广东来源:澎湃新闻·澎湃号·湃客字号
原创猎人君威胁猎人ThreatHunter
前言
数据安全是数字经济发展的重要课题。长期来看,数据安全相关法律法规陆续出台和细化,今年7月6日国家公安部在维护国家网络和数据安全工作的新闻发布会上又提出“强化落实数据安全保护工作,为数字经济发展保驾护航”的要求,可见数据安全治理从监管法规落实到攻防实战是趋势;短期来看,企业一旦发生数据泄露,不仅品牌声誉会受损,还可能面临监管追责、法律处分或巨额罚款。
威胁猎人一直致力于业务反欺诈和数据安全的研究,基于多年沉淀的情报能力,持续关注和分析各行各业数据泄露态势、重点案例和攻防技术,并给出防御建议。
近期,威胁猎人发布《2023年Q2数据资产泄露分析报告》,数据显示,2023年Q2数据泄露情况不容乐观:
1)Q2数据泄露形势相比Q1更为严峻,2018起数据泄露事件发生,涉及52个细分行业,数据类型包括用户信息、敏感代码等;
2)Q2数据泄露事件发生的原因多种多样,有企业内部原因,比如ApI存在缺陷被黑产攻击爬取数据、员工误将敏感信息外传等;也有外部原因,比如供应链泄露、短信渠道泄露等;
3)Q2发生了多起大规模的航空行业数据泄露事件,五一、端午等出行高峰期间,黑产围绕航空行业的攻击增多,共监测到有33家国内航空公司和旅游平台遭受攻击并泄露了用户信息。
2023年Q2数据泄露风险概况
Q2数据泄露事件共2018起,比Q1增加一倍
2023年Q2,威胁猎人风险情报平台监测到数据泄露相关情报5400多万条,通过情报专家进一步筛选、验证和分析,梳理出有效的数据泄露事件共计2018起,是Q1的两倍之多;纵观2023年上半年,数据泄露事件整体呈上升趋势。
威胁猎人进一步分析发现,Q2发生的数据泄露类型主要为用户信息,占比超90%,此外还有敏感代码、内部员工信息等。
物流、金融行业是数据泄露重灾区,供应链泄露是主要原因
从行业分布来看,Q2数据泄露事件涉及物流、借贷、银行、保险、证券等52个细分行业,其中物流和金融行业依旧是重灾区。
此外,随着旅游行业复苏,人们的出行量在Q2大幅度增加,黑产围绕航空行业的攻击随之增多,相关的风险事件频发,本报告第二章节会重点盘点航空行业数据泄露风险态势。
威胁猎人情报专家对泄露事件进行归因分析,发现有41.18%的数据泄露事件由供应链问题导致。
原因是供应链环节有很多中小型企业,这类企业对于数据安全管理投入成本低甚至没有,是黑产重点攻击对象,与之合作的甲方企业数据安全很难得到保障;其次是人为拍摄泄露,占比为22.12%,主要集中在物流行业。
Telegram依旧是主要数据交易渠道,具备隐蔽性受黑产青睐
威胁猎人风险情报平台监测到的Q2数据泄露事件中,超过80%的事件交易和沟通在匿名社交软件Telegram发生,原因是Telegram具备隐蔽性,难以追溯到黑产本人,是黑产沟通和交易的首选渠道。
此外,在暗网、代码仓库(如GitHub、GitLab、postman、bitbucket、coding等)、在线文库(百度文库、豆丁文库、语雀等)、在线网盘(百度网盘等)等渠道,也监测到了数据泄露事件。
除TG、暗网等渠道外,在线文库、网盘等渠道同样需要企业重点关注,虽然有关事件数不多,但是大多数事件泄露了内部机密信息,对企业的影响重大。
航空行业数据泄露风险洞察
今年旅游市场复苏,国内国际航班火爆,黑产围绕航空行业的攻击也在增多。
2023年Q2,威胁猎人风险情报平台监测到航旅行业风险情报173586条,涉及82起数据泄露风险事件、33家国内航空公司和旅游平台,主要为航空用户信息泄露。
通过对Telegram的监测信息来看,2023年Q2黑产针对航空行业的讨论增多,出现了大量求购“未起飞航空数据”的消息、多个发布“某某航空数据”的数据交易群等。
注:Telegram上发布的求购“未起飞航空数据”的消息
关于数据交易情况,威胁猎人情报专家了解到黑产在售的航空数据交易单价一般在13-15元,有的数据售价甚至飙升到了20元,这些数据包含用户姓名、城市、年龄、手机号、身份证号、实时航班、客户等级等信息,基于此诈骗团伙能高效实施诈骗。
Q2出现了很多“不法分子利用航空数据诈骗”的新闻事件,因为被骗民众多、影响范围广,已引起国家反诈中心的关注:
诈骗人员伪装成航空公司工作人员,
发送“航班取消”等虚假短信给航空公司用户,
用户情急之下拨打短信内附的诈骗人员电话,
并在诈骗人员的引导下“下载App,填写银行卡号、验证码......”,
一步步陷入诈骗团伙精心编造的诈骗迷局,
直到收到扣款短信,才意识到自己被骗了,
相关航空公司面临投诉和监管追责。
供应链泄露是航空行业数据泄露的主要原因,这一点跟全行业的情况一致。下方以“多家航空公司共同供应商数据泄露事件”为例:
今年5月,威胁猎人在Telegram一个名为“××接单”的数据交易群内捕获黑产出售“实时未起飞机票数据”,泄露量级高达每日数千条。
注:Telegram数据交易群发布的航空数据,已打码处理
威胁猎人情报专家对数据样本进行分析,初步推测是多家航空公司的共同供应商环节导致的数据泄露。
为进一步求证,威胁猎人情报专家得到涉事航空公司的授权后,采用社会工程学方法深入调查数据发布者,同时联合多家航空公司配合调查数据流转过程,确定数据泄露是由某机票代理商导致。
找到数据泄露的原因后,多家航空公司紧急切断了与涉事机票代理商的合作,同时要求其他供应商进行内部安全检查和整改。
后续威胁猎人也了解到,卖家不再能获取到以上航空公司的“实时未起飞机票”数据。
2023年Q2值得关注的数据泄露案例
1万+家企业用户短信泄露,涉及金融、物流等行业
2023年Q1,发生了多起短信泄露事件,其中有一起事件涉及企业1000+家。到了Q2,短信泄露事件仍然很多。
2023年5月中旬,威胁猎人风险情报平台在Telegram监测到多个群聊和频道在出售2023年短信数据,黑产每日发布数据量高达300万条,涉及企业超过1万家,覆盖金融、零售、汽车、互联网、物流、电商等多个行业。
注:黑产发布“短信泄露数据”消息
在获得涉事企业的授权后,威胁猎人展开溯源,查询发现泄露短信中提到的快递单号等信息真实存在,暴露的手机号、姓名也能和实名信息完全对应。
为确定泄露源,威胁猎人情报专家分析了黑产发布的数据样本,发现文件修改者为“校对部”,推测该起事件的起因是某短信通道商员工作案,并配合企业进行溯源,最终定位泄露数据的短信通道商。
威胁猎人情报专家建议企业选择正规短信代理商,并要求代理商依据个保法要求对数据保护、加密、脱敏。
黑产扫号攻击成人教育机构,批量爬取用户手机号
今年6月,威胁猎人风险情报平台监测到,黑产对多个成人教育机构的登录接口进行扫号攻击,以此批量获取教育平台用户手机号。
注:黑产扫号爬取到的教育行业用户手机号
威胁猎人得到某教育机构的授权后,以该机构为例展开溯源,发现平台的账号登录接口edu.api.××.cn/api/user/login存在“错误提示不合理”的缺陷,黑产批量攻击该接口,在接口请求体中传入手机号,再根据显示的响应体进行过滤,从而筛选出注册过该平台的手机号。
如果传入的手机号未注册,响应体如下:
{code:105,msg:您的手机号还未注册,请先注册}
如果传入的手机号已经注册,响应体如下:
{code:105,msg:密码错误}
威胁猎人进一步分析攻击流量,发现攻击者Ip来自于河北省保定市,Ip分布情况如下表所示:
在定位到问题之后,该教育机构将账号登录接口的错误提示修改为“用户名或密码不正确”,同时限制攻击Ip访问,后续黑产不能再通过扫号获取到该机构的用户手机号。威胁猎人情报专家也建议企业全面梳理ApI资产,及时发现和修复缺陷ApI,重点监测ApI调用量过大、频率过高等异常行为。
企业GitLab设置不当,重要代码等敏感数据遭泄露
GitLab是一个常用的代码与文档管理工具,储存有企业的重要代码和文件,是威胁猎人风险情报平台监测的重点渠道。
近期,威胁猎人监测到某企业的GitLab项目支持任何人访问敏感文档、重要代码和数据库连接信息。
威胁猎人预警该企业,企业立刻展开调查,这才发现GitLab项目设置开放公网访问,同时项目的可见范围设置是public,如此一来,任何人都能访问GitLab项目,导致代码等重要资产泄露。
注:泄露的Gitlab项目
在GitLab创建项目的时候,项目的可见性可以设置为private、Internal或public,如果将项目设置为public,同时GitLab又暴露在公网,有重要代码、敏感文件泄露的风险:
private:得到授权的用户,才能查看这个项目
Internal:登录账号的用户,都能查看这个项目
public:未登录账号的用户,都能查看这个项目
注:GitLab项目“可见性设置”选项
同理还有postman(一个用于构建和使用ApI的平台),如果可见性设置不当,也会泄露内部ApI甚至是系统的账号密码。
注:postman泄露企业内部ApI的案例
威胁猎人情报专家建议企业存放重要代码、ApI的系统,需要内部VpN访问或者限制Ip白名单,同时定期审查系统,一旦发现问题要及时修复。
案例中的企业根据建议,将Gitlab应用设置为需要VpN才可以访问、可见性设置从public改为private,及时阻断代码等重要资产大范围泄露。
企业语雀文档设置不当,导致服务器账号密码泄露
语雀是一个在线文档编辑与协同工具,企业常用于管理内部知识库,一旦泄露可能暴露企业敏感信息。
Q2威胁猎人风险情报平台监测到,某企业记录服务器账号密码的语雀文档任何人都可以访问,原因是内部员工失误,将文档的范围设置为“互联网所有人可访问”。
文档内容包括VpN、堡垒机、测
