数据泄露在网络空间安全风险链条上的普遍性
数据泄露一方面可以看作是各类网络安全事件带来的“结果”,即多种多样的内外部攻击手段,如勒索攻击、社工钓鱼、供应链攻击、内鬼窃密、APT攻击等等,或者是承载业务或数据资源的系统、账户在配置和操作上存在失误,都可能导致数据资源被窃取。
另一方面,数据泄露也是更多网络犯罪活动和网络安全风险的“起因”,比如数据泄露后不及时管控,将导致黑灰产大量交易、作恶,从而引发企业业务安全问题,面临高昂的恢复成本、声誉受损和监管部门的惩罚,以及公民个人信息被泄露后面临的精准化网络诈骗和源源不断的营销骚扰。
数据泄露渠道多元企业自身安全短板导致内外夹击
从数据泄露的原因来看,主要可以分为内部威胁和外部攻击。内部威胁导致泄密的情况已经越来越频繁,这在执法部门通报的典型案例中最为常见,安全意识的缺失导致企业应有的安全管控制度、安全保障措施落实情况差强人意,内部员工因利诱而盗取、贩卖、共享用户数据、企业核心资料变得易如反掌,而事后却难以被追溯和定责。
更重要的是,因没有有效落实安全保护义务,信息系统弱口令、特权账户滥用、终端设备带毒运行、数据未分类分级、老旧系统存在漏洞等潜在的安全问题为外部攻击带来便利,抑或是第三方合作伙伴存在风险敞口,都会让黑灰产团伙无孔不入。
在近期发布的《2024年上半年数据泄露风险态势报告》中,威胁猎人的统计数据展示了更详尽的分析,数据泄露的主要渠道包括:
短信通道泄露,随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益;
运营商通道,黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息;
内鬼泄露,企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖;
黑客攻击,外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据;
第三方泄露,和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中。
无论是何种原因及渠道导致的数据泄露,从攻防对抗上讲,黑灰产团伙的手法、工具总是在不停升级,企业因自身存在薄弱环节才会给予攻击方乘虚而入的机会,因此只有贯彻落实自身的主体安全义务,加强防御和响应措施提升安全水位,才能更大程度地避免安全事故的发生。
数据泄露分布广泛高价值的数据密集型行业尤为严重
数据泄露事件可能发生在各行各业,相对而言,数字化程度高、数据密集体量大、数据资产价值高的领域更易成为重灾区。威胁猎人《2024年上半年互联网黑灰产研究报告》显示,2024年上半年数据泄露事件涉及85个行业,数据泄露事件数量前十的行业分别为银行、电商、消费金融、保险、快递、在线票务、证券、汽车品牌、支付和本地生活。
排名靠前的数据泄露行业中以金融、电商行业为主,金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖,通常被下游黑产团伙用于精准营销及诈骗,因涉及大量高价值用户数据,且靠近交易环节,成为了个人信息泄露的重灾区。
近年来线上购物发展更加火热,据今年的《中国互联网络发展状况统计报告》显示,截至2023年12月,我国网络购物用户规模达9.15亿人,占网民整体的83.8%。线上购物的持续稳定增长下,电商平台产生了海量购物订单及物流信息,这些购物订单及物流信息由于暴露面较大,成为了黑产团伙的重点目标,同样被用于营销或诈骗。
同时,在公安部近期公布的“十大高发电信网络诈骗类型”中,刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%。其中刷单返利类诈骗是发案量最大和造成损失最多的诈骗类型,虚假网络投资理财类诈骗的个案损失金额最大,虚假购物服务类诈骗发案量明显上升,已位居第三位,而金融、电商类用户群体正是此类诈骗案件的受害群体。
附:2024年第二季度全国数据泄露代表事件(不完全统计)
泄露上千户业主个人信息一物业公司被业主起诉索赔
香港中文大学被黑客入侵泄露两万师生信息
6月13日,香港中文大学(CUHK)发布关于电子学习平台资料安全事故的公告,其专业进修学院的“Moodle网上学习平台”遭到了黑客攻击,Moodle是一个广为流行的开源课程管理系统,允许教育工作者为学校、学院和工作场所的在线项目创建个性化学习环境。公告显示,泄露数据涉及20870个Moodle账户,数据类型包括教师、学生、校友、访客的姓名、电子邮件地址和学号。虽然公告中表示敏感数据未在任何公开平台上泄露,但这些信息疑似在暗网BreachForums上售卖。
甘肃甘州公安查处6起酒店行业未履行数据安全保护义务案
骑一次被借贷推销骚扰一个月单车平台疑泄露用户信息
两平台大规模出售企业家个人信息包括多名百亿富豪
对此,中国移动回应,不会售卖任何用户个人信息。中国移动一直以来高度重视客户个人信息保护工作,制定《中国移动数据安全管理办法》等系列制度,建立客户信息常态化保护体系。中国联通答复,肯定不存在对外泄露、出售企业家手机号的行为。从公司的管理制度来说,肯定不允许泄露个人信息。
2B中国公民信息泄露国外安全团队发现完整数据集
5月6日,Cybernews研究团队发现了一个专门针对中国公民的庞大数据集。其背后的实体可能无意中错误地配置了Elasticsearch(数据存储和搜索工具)实例,并使数据泄露到互联网上。这次发现的COMB是今年第二大泄露事件,仅次于数据泄露搜索引擎打开的MotherofAllBreachs(MOAB)集合中的260亿条记录。
数据包括以下内容:
山西公安成功破获特大侵犯公民个人信息案
因未落实业主个人信息保护义务甘肃10家物业公司被处罚
武山县公安机关依法对这3家物业公司处以罚款5000元的行政处罚并责令限期整改,同时对非法获取个人信息的售楼中心、二手房交易公司分别处以罚款1万元的行政处罚。针对另外7家物业公司未落实个人信息保护义务的问题,处以警告的行政处罚并责令其限期整改。
西安网警成功打掉一出售公民个人信息团伙
经统计,该公司所提供的查询内容包括身份证号查地址、身份证查手机等个人敏感信息,索要价格在600元至2000元不等,存在集团式非法买卖、获取公民个人信息的犯罪行为。公司通过查询买卖他人信息非法获利270余万。目前,案件正在进一步侦办当中。
企业应如何应对数据泄露
针对猖獗如斯的数据泄露情况,威胁猎人建议企业全面提升对风险的识别及应对能力,了解风险事件的细节,包括对风险真实性进行验证,及时进行溯源、处置下架并跟进潜在风险,增强数据泄露风险监测及预警的及时性等。其提出的针对性的解决方案供大家参考:
1、全网情报监测及挖掘:覆盖暗网、匿名群聊、网盘文库、代码托管平台等各渠道,从不同维度持续提升渠道覆盖的全面性,包括新渠道的持续发现和更新、深层情报源(DeepSource)的专项挖掘、多语种的渠道覆盖。
2、数据泄露风险精准预警:针对监测到的黑产交易数据,通过风险真实性验证引擎+人工数据验证服务,提供综合的可信度评估结果,帮助企业精准感知风险、及时处置风险:
①风险真实性验证引擎:基于“信源置信度要素、三要素匹配度要素、历史重合度要素”3个要素对风险真实性进行验证;
②人工数据验证服务:通过二次验证、主动验证等方式进一步帮助企业精准感知风险。