数世咨询 | 全球数据泄露态势(2023.11)

数据泄露 攻防
7月前

20231113090360.jpg

本报告由 数世咨询 & 零零信安 共同发布

在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。

为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。

本期报告的统计区间2023年10月。

第一章 数据泄露市场

2023年10月共监控到全球DWM(Dark Web Market)情报:


● 深网和暗网有效情报4,091,189份;
● 泄露数据的买卖情报16,416份。


01.png

1、按国别分类

其中美国是数据泄露第一大国,共泄露数据5,278份,其他数据泄露较多的国家还包括:法国、中国、德国、巴西、俄罗斯、意大利、日本等。详情如下图所示:

02.png

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。

2、按行业分类

10月份行业属性数据占泄露数据总量约16%左右,泄露的行业数据主要包括金融行业、卫生医疗业、文体娱乐业、批发和零售业、信息和互联网行业等。84%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示:

03.png

3、泄露数量

10月份泄露的数据中包含一份据称100亿条购物数据,数份超十亿近百亿的二要素个人数据泄露,因此除上述购物数据外,全球整体数据泄露量达到两百亿行以上排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在100亿行以上

第二章 事件抽样分析

1、以色列国防部国际防务合作局数据泄露

发布时间:2023.10.16
泄露数量:未知
售卖/发布人:broken

事件描述:2023.10.16某暗网数据交易平台有人宣称正在售卖一份以色列国防部国际防务合作局数据,据称该数据内容为:其他国家政府机构和国防部的文件,这些机构和国防部将寻求与以色列建立国防相关协议。其他一些个人信息包括:用户名、密码、电子邮件地址、名字、姓氏、国家/地区、组织、类型、与sibat合作或希望与sibat协作的组织/个人的电话信息。该作者售卖该条数据价格为8000美元并留下了自己的tox联系方式。

04.png

2、巴勒斯坦外交部数据泄露

发布时间:2023.10.7
泄露数量:40,500
售卖/发布人:cookiesmonster

事件描述:2023.10.7某暗网数据交易平台有人宣称获取到了巴勒斯坦外交部数据库中一些时间并将其发布。据称该数据包含了一些巴勒斯坦外交部的数据库,文件以及邮件往来共计40,000条,除此之外还包含了500条用户数据。此外作者还提到了这些文件中涉及到了巴勒斯坦与中国的项目往来细节。

05.png

06.png

3、FBI数据泄露

发布时间:2023.10.12
泄露数量:9,984
售卖/发布人:motify

事件描述:2023.10.12某暗网数据交易平台有人宣称获取到了FBI代号为“atlas”的数据库。作者讲述了自己是如何通过漏洞提升权限并获取到了FBI的雇员数据。在作者所给的样例数据中可以看到有:姓名,邮箱,地址,电话和哈希密码,作者称此次共售卖9984条FBI员工信息,售价为10000美元且只支持比特币和门罗币交易,并且作者称该数据只会售卖一次。在2015年10月份,曾经出现过一次FBI和DHS人员数据泄露,本次事件据称与上次事件无关。

07.png

08.png

4、黎巴嫩卫生部数据泄露

发布时间:2023.10.23
泄露数量:3,855,991
售卖/发布人:r57

事件描述:2023.10.23某暗网数据交易平台有人宣称正在售卖一份黎巴嫩卫生部数据。该数据包含了死亡病例,吸毒人员数据,受益人数据以及其他各类疾病数据共计3,855,991条54.6GB,这对于总人口只有548万的黎巴嫩无疑属于很严重的数据泄露,作者标价该份数据为2500美元并展示了一些样例数据。

09.png

5、印度领事馆数据泄露

发布时间:2023.10.15
泄露数量:54,000
售卖/发布人:cookiesmonster

事件描述:2023.10.15某暗网数据交易平台有人宣称他正在售卖一份印度领事馆系统访问权限以及超过54000条印度公民记录。记录内容包括:姓名,国家,身份证号,申请日期,护照号,出发地,目的地等。

10.png

6、中**国际数据泄露

发布时间:2023.10.28
泄露数量:40.5TB
售卖/发布人:cnatk777

事件描述:2023.10.28某暗网数据交易平台有人宣称他正在售卖一份中**国际数据,数据内容包括:部分OSS存储文件,数据库内容包括各开发项目负责人,内幕信息,在软件或系统开发方面处于领先地位的开发人员名单,开发项目合同等。该作者一天后于2023.10.29再次发布了该内容,其内容与28日发布的内容大致一样,作者并未注明售卖价格。

11.png

7、**钉**数据泄露

发布时间:2023.10.24
泄露数量:20,000,000
售卖/发布人:1896435

事件描述:2023.10.24某暗网数据交易平台有人宣称他正在售卖一份**钉**数据,内容包括手机号,作者称该数据共计20000000条并且是2023年的新库,此外还提到只会有少量的重复数据,售卖价格为666美元。

12.png

8、中国**联数据泄露

发布时间:2023.10.22
泄露数量:630,000,000
售卖/发布人:3**********5

事件描述:2023.10.22某暗网数据交易平台有人宣称他正在售卖一份2023年5月中国**联数据,数据内容包括:姓名,手机号,身份证号,性别等个人信息数据共6.3亿条,售卖价格为1300美元。值得一提的是该数据原价为30万人民币,该数据是被之前发布过上海某政府单位数据的黑客Chinadan东拼西凑而来的假数据。

13.png

9、京**数据泄露

发布时间:2023.10.31
泄露数量:9,834,142,422
售卖/发布人:mikuu

事件描述:2023.10.31某暗网数据交易平台有人宣称他正在售卖一份京**数据,提供的样例数据中的数据内容为:姓名,手机号,地址,订单号,商品详情等。数据总量约为100亿,数据大小为2TB,价格为25000美元。由零零信安安全分析师根据样本、价格、售卖习惯、黑客信誉、暗网玩家特性等综合分析,该数据售卖行为判断为诈骗的可能性极高。

14.png

10、**淘**数据泄露

发布时间:2023.10.30
泄露数量:8,154,392,557
售卖/发布人:yua

事件描述:2023.10.30某暗网数据交易平台有人宣称他正在售卖一份**淘**数据,提供的样例数据中的数据内容为:姓名,手机号,地址,订单号,商品详情,购买价格,购买日期等。数据时间范围为2015年到2020年,作者称该数据只卖一次并且不支持拆分售卖,价格为40000美元。由零零信安安全分析师根据样本、价格、售卖习惯、黑客信誉、暗网玩家特性等综合分析,该数据售卖行为判断为诈骗的可能性极高。

15.png

第三章 勒索软件和黑客组织

1、活跃商业黑客组织综述

2023年10月全球活跃的商业黑客组织(有勒索发布行为)共36个,公开的勒索事件共371件,TOP 10的黑客组织如下所示:

16.jpg

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的70%,如下所示:

17.png

2、黑客组织活跃趋势

下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所下降),但整体活跃度趋势正在逐步增加,统计末端(2023年10月)已达到一年前统计前端(2022年11月)的137.5%:

18.png

随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃黑客组织数量较上月有所降低但仍保持高活跃度状态。如下图所示:

19.png

3、本月典型事件说明

由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:

20.png

(1)Presidncia da Repblica

商业黑客组织Black suit在2023.10.19公布了巴西政府合作公司Presidncia da Repblica被勒超索的信息,因其未按照勒索组织的要求在规定期限内支付赎金。Black suit共窃取了Presidncia da Repblica多达494GB的数据,合计234,546份文件,并公布在互联网上提供下载。如下图所示:

21.png

(2)美国波音公司

商业黑客组织lockbit3在2023.10.27公布了美国波音公司被勒索的信息,并给了其6天时间支付赎金:

22.png

(3)加拿大航空

商业黑客组织bianlian在2023.10.11公布了加拿大航空公司被勒索的信息,因其未按照勒索组织的要求在规定期限内支付赎金。bianlian共窃取了加拿大航空公司多达210GB的数据,并公布在互联网上提供下载。如下图所示:

23.png

■ 对该类事件,本文分析员的观点和立场如下:


⑴ 坚决支持对勒索软件和黑客组织说“NO!”
⑵ 企业CISO仍应加强自身安全建设,防止该类事件带来的损失;
⑶ 
我们将与某些公益组织合作,为受到勒索和黑客组织攻击的单位提供免费技术支持,该计划预计在近期内上线。


4、典型黑客组织简介(Play)

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有:Lockbit3,Royal如需了解请翻阅往期报告。

本期介绍Play勒索组织,该勒索组织最早于2022年11月开始发布勒索信息。在一年时间内,截止本篇文章发布之前共计发布了280条勒索信息。该勒索组织活跃度很高,平均每个月都会发几篇到十几篇勒索信息。

以下是Play勒索组织对自己的官方介绍:


24.png

——生了什么?
——我们渗透了您的网络,彻底调查,窃取了所有重要的、个人的、私人的、有危害的信息,包括数据库和所有对您有价值的文件,加密了您的数据,使其无法使用。
——如何使我的组织恢复正常?
——论交易条款。
交易场景:
1.您发送了几个小文件进行解密,我们对它们进行解密并将其发送回您,从而证明我们有技术能力解密您的网络。
2.在付款前,您必须再次发送几个小文件进行解密,在收到解密的文件后,您向我们的钱包支付我们指示的价格。
3.在收到付款后的一小时内,我们将从我们的存储中永久删除您的文件,并向您发送带有详细说明的解密器*。
4.您对系统进行解密,然后返回正常操作。
——如果我们不付钱会怎样?
——如果未付款,我们将通知您的合作伙伴和客户,之后我们将公布您的数据。您很可能会收到个人和法律实体因信息泄露和违约而提出的索赔,您当前的交易将被终止。记者和其他人会深入研究你的文件,发现其中存在不一致或违规行为。您的组织将失去声誉,股票价格将下跌,一些组织将被迫关闭。这是支付解密器所无法比拟的。
——价格是由什么组成的?
——所有客户都得到了合理的价格,我们在制定价格之前会研究收入、费用、文件、报告等。


Play宣称勒索价格是由公司的收入,规模,文件价值和报告等多方面来决定的,并且勒索信息上不会带有勒索价格。在其官网上可以通过留言方式来联系Play,如下图所示: 

25.png

勒索信息包含了被勒索组织的名称,被勒索组织的官网,被勒索组织的介绍以及被勒索组织泄露的文件描述等,如下图所示:

26.png

如勒索失败,该组织会在其官网发布新闻,并将该新闻通报到公共媒体和社交平台,以损害被勒索企业的信誉度,并在下面留下文件下载地址以及解压密码,以供访问者免费下载:

27.png


第四章 匿名社交社群

10月份监控到匿名社交社群情报总数量49,370,900条,提供的有效数据泄露样例下载5367份。涉及到我国数据泄露的内容,包括:电销、股票、贷款、相亲、机票信息、公积金、购房信息、社保信息、医生和护士信息、教师和学生信息、网购等众多类型。

以下随机选取展示部分样本:

28.png

29.png

30.png

以上数据仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,全数据量估算在1000万条以上。

此外,检索到10月份使用匿名社交软件的活跃用户中,以“86(我国区号)”开头的手机号共发送信息3713个。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下为10月份使用“86”开头的手机号的TOP 10信息:

31.png

* 如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 dw@dwcon.cn 与我们联系。

点击下载《全球数据泄露态势(2023.11)》全文


【数世咨询】全球数据泄露态势(2023.11).pdf


— 【 THE END 】—