愛鋒貝

標(biāo)題: 2023年Q1數(shù)據(jù)泄露事件近1000起,涉及1204家企業(yè)、38個(gè)行 … [打印本頁]
作者: 毛屌屌    時(shí)間: 2023-4-17 12:31
標(biāo)題: 2023年Q1數(shù)據(jù)泄露事件近1000起,涉及1204家企業(yè)、38個(gè)行 …
(, 下載次數(shù): 592)
前言

2023年Q1發(fā)生近1000起數(shù)據(jù)泄露事件,涉及1204家企業(yè)、38個(gè)行業(yè),黑產(chǎn)的數(shù)據(jù)交易主要集中在更加隱蔽和便利的匿名社交平臺。值得一提的是通過短信通道泄露的情況,雖然占比不高但影響極大,僅一起事件就涉及1000+家企業(yè)。
近年來,國家數(shù)據(jù)安全和個(gè)人信息保護(hù)相關(guān)法律法規(guī)相繼出臺和逐漸細(xì)化,2022年國家級攻防演練中更是新增了對于數(shù)據(jù)泄漏的攻防點(diǎn),說明數(shù)據(jù)安全保護(hù)逐步從監(jiān)管法規(guī)落實(shí)到具體的攻防實(shí)戰(zhàn)中來。
今年三月《國務(wù)院政府工作報(bào)告》再次強(qiáng)調(diào)數(shù)據(jù)安全的重要性,對企業(yè)而言,發(fā)生數(shù)據(jù)泄露不僅會受到監(jiān)管和法律的懲罰,還有可能遭受財(cái)產(chǎn)和名譽(yù)損失。
Q1金融企業(yè)的用戶遭遇釣魚仿冒類電信詐騙案件上升,其中一個(gè)很重要的原因是詐騙分子基于泄漏的用戶信息數(shù)據(jù),通過釣魚仿冒網(wǎng)站來實(shí)施精準(zhǔn)詐騙,因此,及時(shí)監(jiān)測數(shù)據(jù)泄露風(fēng)險(xiǎn),做好數(shù)據(jù)安全建設(shè),是企業(yè)發(fā)展路上的重要課題。
威脅獵人發(fā)布了《2023年Q1數(shù)據(jù)資產(chǎn)泄露分析報(bào)告》,報(bào)告內(nèi)含詳細(xì)的態(tài)勢分析、值得關(guān)注案例和攻防建議,希望借此報(bào)告為企業(yè)數(shù)據(jù)安全建設(shè)、防數(shù)據(jù)泄露提供啟發(fā)和建議。
支持文末下載報(bào)告PDF

(, 下載次數(shù): 587)
一、2023年Q1數(shù)據(jù)泄露風(fēng)險(xiǎn)概況

1、捕獲近1000起數(shù)據(jù)泄露事件,涉及1204家企業(yè)

2023年Q1,威脅獵人情報(bào)平臺監(jiān)測和驗(yàn)證到的有效數(shù)據(jù)泄露事件高達(dá)987起。
疫情結(jié)束后黑產(chǎn)更加活躍,相較2022年Q1,本季度的數(shù)據(jù)泄露事件數(shù)上升了42%,涉及企業(yè)多達(dá)1204家。
一月份是春節(jié)檔期,絕大多數(shù)的黑產(chǎn)在休假,因此事件數(shù)相對較少,到了二三月,黑產(chǎn)逐漸“上崗”,風(fēng)險(xiǎn)事件數(shù)量也在逐月增加。

(, 下載次數(shù): 541)
威脅獵人對事件發(fā)布者進(jìn)一步研究發(fā)現(xiàn),其中有兩個(gè)黑產(chǎn)在Q1發(fā)布了244個(gè)數(shù)據(jù)泄露事件,從過往發(fā)布信息來看,主要針對物流行業(yè),推測應(yīng)該與全國多家快遞公司的快遞員合作。

2、匿名社交軟件Telegram是主要數(shù)據(jù)交易平臺,多為二手轉(zhuǎn)賣數(shù)據(jù)

從威脅獵人監(jiān)控渠道上來看,2023年Q1的數(shù)據(jù)泄露渠道主要集中在Telegram、Github、暗網(wǎng)、網(wǎng)盤4個(gè)渠道。
其中,匿名社交軟件Telegram因信息傳輸?shù)乃矫苄院捅憷?,成為?shù)據(jù)交易和傳播非法信息的理想平臺,占比高達(dá)82%。
經(jīng)威脅獵人溯源,擁有一手?jǐn)?shù)據(jù)的人為保護(hù)自身安全,會找代理來推廣和交易數(shù)據(jù),因此傳播數(shù)據(jù)大多為二手轉(zhuǎn)賣數(shù)據(jù)。

(, 下載次數(shù): 599)
3、數(shù)據(jù)泄露遍布各行各業(yè),涉及物流、金融、電商行業(yè)等

從行業(yè)分布來看,2023年Q1的數(shù)據(jù)泄露事件遍布各行各業(yè),涉及38個(gè)行業(yè),包含物流、金融、電商、航空、招聘、教育、旅游等行業(yè)。

(, 下載次數(shù): 584)
4、人為拍攝與合作方泄露是主要泄露原因,涉及銷售、快遞等環(huán)節(jié)

從泄露原因來看,本季度人為拍攝信息導(dǎo)致數(shù)據(jù)泄露的占比最多,高達(dá)42%,進(jìn)一步研究發(fā)現(xiàn):
主要集中在物流行業(yè),涉及銷售、倉儲、快遞等環(huán)節(jié)的面單信息泄露;
合作方泄露位居第二,占比34%,攻擊者往往會攻擊供應(yīng)鏈上的中小企業(yè),這類企業(yè)的安全成本投入低甚至沒有,易被攻破,與之合作企業(yè)的數(shù)據(jù)安全很難得到保障。

(, 下載次數(shù): 546)
值得關(guān)注的是內(nèi)部安全缺陷泄露和短信泄露,雖然占比不高,分別為10%和7%,但影響范圍大,尤其是短信泄露。
威脅獵人在2023年3月15號,捕獲了一起短信泄露事件:涉及1000+家企業(yè),其中一家企業(yè)被泄漏的短信數(shù)量高達(dá)1億+條,被黑產(chǎn)在Telegram上售賣。
安全建議:
1)采購正規(guī)短信通道;
2)給不同通道的短信帶上差異化標(biāo)識,發(fā)生數(shù)據(jù)泄漏事件時(shí),可快速定位問題短信通道。
二、金融借貸行業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)洞察

威脅獵人2022年度《數(shù)據(jù)資產(chǎn)泄露報(bào)告》顯示:借貸行業(yè)的數(shù)據(jù)泄露事件數(shù)占據(jù)金融行業(yè)總數(shù)據(jù)泄露事件數(shù)的38%,位居第一
到2023年Q1,這一數(shù)值已經(jīng)飆升到了51%,威脅獵人情報(bào)平臺共監(jiān)測到相關(guān)事件91起,遠(yuǎn)多于其他金融細(xì)分行業(yè)。

(, 下載次數(shù): 609)
威脅獵人研究員進(jìn)一步分析原因,發(fā)現(xiàn)金融借貸行業(yè)通過第三方軟件服務(wù)(如SDK)和短信通道泄露的占比最多。
通過這兩個(gè)原因泄露的數(shù)據(jù)基本只有手機(jī)號,難以獲取姓名等詳細(xì)信息,但有心黑產(chǎn)可通過社工庫、歷史泄露信息等渠道,查詢到姓名、地址、身份證等具體用戶信息,加上被泄露數(shù)據(jù)的實(shí)時(shí)性較高,在黑產(chǎn)領(lǐng)域有巨大市場。

(, 下載次數(shù): 588)
針對金融借貸行業(yè)泄露的數(shù)據(jù),黑產(chǎn)多用于詐騙:
1)以低利息、下款快等誘惑,引導(dǎo)用戶前往其他平臺借貸,以“個(gè)人信息輸入錯(cuò)誤為由凍結(jié)貸款,需繳納保證金才能解凍”的方式進(jìn)行詐騙;
2)偽裝成平臺客服,以“賬戶違規(guī)、注銷等借口”要求用戶繳納費(fèi)用進(jìn)行詐騙。
黑產(chǎn)獲取的用戶個(gè)人信息數(shù)據(jù)越多,讓用戶確信是客服的可能性越高,實(shí)施詐騙的成功率也越高。
近期,威脅獵人情報(bào)平臺在Telegram上捕獲一起黑產(chǎn)出售某網(wǎng)貸平臺用戶信息的安全事件,每天1-2千條,涉及字段包含姓名、手機(jī)號、下款時(shí)間和額度等,極有可能被黑產(chǎn)用于詐騙。

(, 下載次數(shù): 561)
經(jīng)該網(wǎng)貸平臺內(nèi)部排查,定位到數(shù)據(jù)泄漏原因是Spring Boot Actuator未授權(quán)漏洞,API泄漏了數(shù)據(jù)庫的連接信息,數(shù)據(jù)庫還支持公網(wǎng)連接,黑客直接連接數(shù)據(jù)庫即可竊取數(shù)據(jù)。
企業(yè)需要監(jiān)控應(yīng)用程序狀態(tài),Spring Boot內(nèi)置監(jiān)控功能Actuator,當(dāng)Spring Boot Actuator配置不當(dāng)時(shí),攻擊者可通過訪問默認(rèn)的內(nèi)置API,輕易獲得應(yīng)用程序的敏感信息:
安全建議:
1)盡量使用最新版本的應(yīng)用和系統(tǒng);
2)數(shù)據(jù)庫等敏感應(yīng)用和系統(tǒng),不暴露到公網(wǎng),或者限制IP白名單。
三、2023年Q1最值得關(guān)注的數(shù)據(jù)泄露案例

2023年Q1發(fā)生了多起嚴(yán)重的數(shù)據(jù)泄露事件,給很多企業(yè)造成嚴(yán)重的負(fù)面影響,接下來,讓我們看看本季度最值得關(guān)注的數(shù)據(jù)泄露案例:
1、員工信息泄露案例

1.1 大數(shù)據(jù)平臺員工電腦遭Stealer log病毒木馬攻擊,造成數(shù)據(jù)泄露
2023年3月1日,威脅獵人在暗網(wǎng)發(fā)現(xiàn)有黑產(chǎn)出售某大數(shù)據(jù)平臺的數(shù)據(jù),包含50W+條Json格式涉及姓名、手機(jī)號、部門等字段的數(shù)據(jù)。
威脅獵人情報(bào)研究員根據(jù)過往黑產(chǎn)發(fā)布的信息分析發(fā)現(xiàn),絕大部分?jǐn)?shù)據(jù)都是從數(shù)據(jù)庫獲取,涉及國家、行業(yè)廣闊,大概率是通過MongoDB、MySQL等數(shù)據(jù)庫弱口令或未授權(quán)等方式獲取。
經(jīng)威脅獵人情報(bào)專家分析和溯源,發(fā)現(xiàn)該數(shù)據(jù)泄露事件由Stealer log導(dǎo)致。
Stealer log是指:
記錄病毒木馬從計(jì)算機(jī)中竊取的敏感信息的日志文件。文件中包含各類軟件/瀏覽器保存/企業(yè)后臺系統(tǒng)/FTP/數(shù)據(jù)庫等的賬號密碼、Cookie等隱私數(shù)據(jù),會導(dǎo)致企業(yè)機(jī)密、客戶資料泄露等安全事件。
起因是員工個(gè)人電腦中過病毒木馬,連接過公司的PostgreSQL數(shù)據(jù)庫被Stealer log記錄了下來,因該數(shù)據(jù)庫可被公網(wǎng)訪問,黑產(chǎn)直接連接數(shù)據(jù)庫即可竊取。
以下為黑產(chǎn)展示其竊取到的PostgreSQL數(shù)據(jù)庫連接信息,同時(shí)黑產(chǎn)表示還破解了數(shù)據(jù)庫中其他9個(gè)用戶的哈希,僅修改泄漏的賬號密碼已無法解決該問題。

(, 下載次數(shù): 602)
該黑產(chǎn)從19年開始行動,員工個(gè)人電腦在21年已被病毒木馬攻擊,直到黑產(chǎn)在23年售賣相關(guān)數(shù)據(jù)被監(jiān)測到才暴露問題,最終導(dǎo)致了此次數(shù)據(jù)泄漏事件發(fā)生。
安全建議:
1)更換數(shù)據(jù)庫連接地址,設(shè)置IP白名單,限制可訪問IP,或?qū)?shù)據(jù)庫放到內(nèi)網(wǎng)中,不暴露到公網(wǎng);
2)用戶哈希已被破解,盡快修改密碼,防止被密碼噴灑攻擊;
3)要求內(nèi)部員工定期修改密碼。

1.2 招標(biāo)平臺API返回過多員工敏感信息,遭黑產(chǎn)攻擊
威脅獵人情報(bào)系統(tǒng)監(jiān)測到,某招標(biāo)平臺的API接口正在遭受黑產(chǎn)攻擊,原因是該接口返回過多的敏感信息。
黑產(chǎn)可直接攻擊API獲取到該公司員工明文的姓名、身份證、手機(jī)號、住址、密碼等信息,泄漏的密碼雖然經(jīng)過md5加密,但仍可以還原出明文密碼。

(, 下載次數(shù): 593)
同時(shí)該公司的OA系統(tǒng)暴露在公網(wǎng),黑產(chǎn)甚至可以通過接口泄露的賬號密碼,直接登錄OA系統(tǒng),竊取企業(yè)內(nèi)部信息或是實(shí)施其他惡意行為。
安全建議:
1)確認(rèn)業(yè)務(wù)邏輯中是否會用到API接口所返回的字段,刪除返回多余的字段;
2)告知員工修改密碼,排查內(nèi)部系統(tǒng)是否已被入侵。

2、用戶信息泄露案例

2.1 健身房存在API越權(quán)漏洞,會員手機(jī)號被爬取
威脅獵人研究員觀察到,某健身平臺的API存在越權(quán)漏洞,上傳user_id就會返回對應(yīng)用戶的手機(jī)號,user_id看起來是不可遍歷、預(yù)測的,難以被利用。

(, 下載次數(shù): 574)
威脅獵人研究員觀察到,該健身房的另一個(gè)API接口返回了100條user_id,如下圖所示:

(, 下載次數(shù): 581)
通過分析發(fā)現(xiàn),密文user_id前面都是B_BBKOs,明文userid前面都是155,可以說明user_id是根據(jù)規(guī)則來生成的,黑產(chǎn)可自行生成密文user_id,實(shí)現(xiàn)越權(quán)獲取任意用戶的手機(jī)號。
安全建議:
1)API接口需要加上鑒權(quán),會員才可以進(jìn)入系統(tǒng)進(jìn)行操作,減少暴露面;
2)查詢敏感數(shù)據(jù)時(shí),若查詢參數(shù)帶有id類型的字段,使用不可遍歷、預(yù)測的字符串;
3)校驗(yàn)查詢敏感數(shù)據(jù)的對象是否為當(dāng)前用戶,不屬于則不予查詢。

2.2 保險(xiǎn)代理供應(yīng)商存在漏洞,合作甲方數(shù)據(jù)遭泄露
近期,威脅獵人在分析蜜罐流量時(shí)發(fā)現(xiàn),多家保險(xiǎn)代理公司均存在API漏洞,極有可能泄露與其合作甲方的用戶數(shù)據(jù)。
以保險(xiǎn)代理公司A為例:
為給甲方推廣保險(xiǎn)業(yè)務(wù),保險(xiǎn)代理公司A推出“完善個(gè)人信息,領(lǐng)取保險(xiǎn)”等活動。頁面雖然展示的是脫敏后的個(gè)人用戶信息,但威脅獵人分析發(fā)現(xiàn),該保險(xiǎn)代理公司只是在前端展示時(shí)做了脫敏,API接口返回的其實(shí)是明文數(shù)據(jù)。并且,該漏洞目前已經(jīng)被黑產(chǎn)利用,預(yù)計(jì)泄漏的用戶數(shù)據(jù)高達(dá)3000w+。

(, 下載次數(shù): 592)
該缺陷API通過傳入encryptStr來獲取個(gè)人敏感信息,而encryptStr是通過另一個(gè)缺陷API接口獲取。黑產(chǎn)通過遍歷url中的參數(shù)即可拿到不同用戶的encryptStr,再去上述的接口請求,即可獲取到不同用戶的個(gè)人信息。
安全建議:
1)與合作方傳輸涉敏數(shù)據(jù)時(shí),需對數(shù)據(jù)進(jìn)行加密,同時(shí)提高數(shù)據(jù)導(dǎo)出權(quán)限,避免傳輸過程中暴露,并做好內(nèi)部審查;
2)要求合作方依據(jù)個(gè)保法要求保護(hù)、加密、脫敏等,同時(shí)必須了解具體數(shù)據(jù)傳輸流程,避免數(shù)據(jù)流露到其他平臺或平臺防護(hù)較為薄弱;
3)及時(shí)捕捉數(shù)據(jù)交易市場實(shí)時(shí)動態(tài),根據(jù)相關(guān)線索分析涉及公司的泄露事件,判斷泄露環(huán)節(jié)。

2.3 快遞運(yùn)單信息泄露,黑產(chǎn)以0.9元一條出售
威脅獵人監(jiān)測到,Telegram上有黑產(chǎn)在出售某快遞的運(yùn)單信息數(shù)據(jù),字段包含運(yùn)單編號、產(chǎn)品類型、收件人地址、手機(jī)號、姓名,派送員姓名等,一天可提供的數(shù)據(jù)5萬+條,價(jià)格為0.9元一條。

(, 下載次數(shù): 582)
在獲得該快遞平臺授權(quán)后,威脅獵人展開調(diào)查,通過黑產(chǎn)透露的后臺帶水印的截圖,定位到此次數(shù)據(jù)泄漏事件由于離職員工賬號權(quán)限未及時(shí)收回導(dǎo)致。
目前,該快遞平臺已收回離職員工權(quán)限并反饋警方,竊取數(shù)據(jù)的黑產(chǎn)已拘捕在獄。
安全建議:
1)及時(shí)收回離職員工賬號和權(quán)限;
2)后臺系統(tǒng)不開放到公網(wǎng)訪問,需要VPN才能訪問,或限制IP白名單;
3)限制敏感數(shù)據(jù)能夠訪問的權(quán)限,只對少數(shù)確實(shí)有需要的賬號開放。
3、代碼泄露案例

3.1 某企業(yè)代碼在Github發(fā)生泄露,因員工導(dǎo)致
近期,Twitter在Github上發(fā)生代碼泄露的事件引發(fā)全網(wǎng)熱議,除此之外,威脅獵人情報(bào)情報(bào)也監(jiān)測到一起Github泄露事件。
經(jīng)溯源發(fā)現(xiàn),事因某員工往Github上傳的日志文件中包含了插入用戶表的SQL語句,因此泄露了管理員賬號密碼。

(, 下載次數(shù): 594)
黑產(chǎn)拿到該賬號密碼后直接登錄管理后臺,最終造成了數(shù)據(jù)泄露、甚至系統(tǒng)權(quán)限失限等嚴(yán)重后果。
安全建議:
對于因員工失誤將代碼推送到GitHub上導(dǎo)致的信息泄漏,威脅獵人安全專家建議:
1)立即移除代碼:立即將代碼從GitHub上移除,盡早停止信息泄漏的影響;
2)分析泄漏程度:評估信息泄漏程度和影響范圍,包括可能泄露的數(shù)據(jù)、已訪問到數(shù)據(jù)的人數(shù)等。
3)加強(qiáng)安全意識教育:加強(qiáng)員工的安全意識教育,提高他們對代碼安全的重視和保護(hù)意識;
4)定期審查:定期審查代碼庫,發(fā)現(xiàn)漏洞或問題時(shí)及時(shí)修復(fù),防止類似問題再次發(fā)生。

4、敏感文件泄露案例

4.1 多家企業(yè)敏感文件被泄露,涉及機(jī)密文件、服務(wù)器等信息
Telegram和暗網(wǎng)是敏感文件數(shù)據(jù)泄露的高發(fā)地段,除此之外,網(wǎng)盤、文庫、在線文檔等渠道也可能泄露企業(yè)敏感信息。
近期,威脅獵人情報(bào)平臺監(jiān)測到,多家企業(yè)的敏感信息在網(wǎng)上被泄露,此處列舉兩個(gè)案例。
案例一:某銀行貸款業(yè)務(wù)機(jī)密文件被泄露在某文庫,不僅影響銀行聲譽(yù),而且可能導(dǎo)致銀行違反法規(guī)承擔(dān)法律責(zé)任。除此之外,黑灰產(chǎn)也可以利用被泄露的機(jī)密文件實(shí)施違法行為,比如復(fù)印該文件假裝該銀行工作人員行騙。

(, 下載次數(shù): 585)
案例二:某企業(yè)的內(nèi)部在線文檔遭泄露,泄露字段包含詳細(xì)的服務(wù)器信息、APP信息、企業(yè)在支付寶等平臺的信息等,甚至暴露了具體的登錄賬號和密碼,如果這些信息被黑產(chǎn)發(fā)現(xiàn),黑產(chǎn)可直接登錄賬號密碼,實(shí)施竊取機(jī)密文件等惡意行為。

(, 下載次數(shù): 585)
安全建議:
1)告知員工保護(hù)數(shù)據(jù)的重要性,引導(dǎo)員工學(xué)習(xí)企業(yè)的數(shù)據(jù)安全政策和網(wǎng)安知識;
2)使用安全的文件共享平臺,例如:加密的云存儲或私有文件服務(wù)器;
3)實(shí)施訪問控制措施,例如:員工使用VPN連接到公司網(wǎng)絡(luò),才能訪問敏感文件;
4)定期安全審計(jì)和漏洞掃描,以確保網(wǎng)絡(luò)和系統(tǒng)的安全,如發(fā)現(xiàn)問題立即補(bǔ)救;
5)建立安全響應(yīng)計(jì)劃,應(yīng)對數(shù)據(jù)泄露和安全事件。
四、數(shù)據(jù)保護(hù)建議

面對越來越多的數(shù)據(jù)泄露風(fēng)險(xiǎn),企業(yè)需由內(nèi)而外地加強(qiáng)安全防御建設(shè),保障企業(yè)和用戶數(shù)據(jù)安全:
「對外:數(shù)據(jù)泄露風(fēng)險(xiǎn)監(jiān)測」

企業(yè)數(shù)據(jù)資產(chǎn)多樣化并且價(jià)值越來越高,涉及用戶信息、員工信息、敏感文件、業(yè)務(wù)代碼等,數(shù)字化帶來數(shù)據(jù)的泄露面也更大,及早感知可能的數(shù)據(jù)泄漏風(fēng)險(xiǎn)越發(fā)重要。
威脅獵人數(shù)據(jù)泄漏監(jiān)測情報(bào),全面監(jiān)測黑產(chǎn)的數(shù)據(jù)交易渠道、敏感文件和代碼的外發(fā)渠道,助力企業(yè)及時(shí)感知、及早溯源和防御潛在數(shù)據(jù)泄漏風(fēng)險(xiǎn),避免大規(guī)模的數(shù)據(jù)泄漏影響業(yè)務(wù)的正常發(fā)展。
「對內(nèi):加強(qiáng)API安全建設(shè)」

企業(yè)應(yīng)當(dāng)在“業(yè)務(wù)優(yōu)先”的基礎(chǔ)上,加強(qiáng)API安全建設(shè),通過API安全管控平臺,全面梳理對外開放的API、流動的敏感數(shù)據(jù)和訪問賬號,實(shí)現(xiàn)對敏感數(shù)據(jù)異常訪問風(fēng)險(xiǎn)的及時(shí)監(jiān)測。
威脅獵人的API安全管控平臺對企業(yè)的API、敏感數(shù)據(jù)和訪問賬號進(jìn)行全面的梳理,評估API資產(chǎn)的未授權(quán)、越權(quán)訪問、敏感數(shù)據(jù)暴露過多等設(shè)計(jì)缺陷,基于黑產(chǎn)攻擊情報(bào)及時(shí)識別數(shù)據(jù)爬取、賬號異常數(shù)據(jù)訪問等風(fēng)險(xiǎn),從根源杜絕數(shù)據(jù)泄露風(fēng)險(xiǎn)發(fā)生。
做到外部威脅情報(bào)監(jiān)測與API資產(chǎn)安全結(jié)合,企業(yè)才能高效和有效地應(yīng)對數(shù)據(jù)泄露風(fēng)險(xiǎn),在數(shù)字化建設(shè)與創(chuàng)新發(fā)展的道路上,走得又快又穩(wěn)。

點(diǎn)擊鏈接支持下載完整報(bào)告PDF:

-----------------------------



歡迎光臨 愛鋒貝 (http://m.7gfy2te7.cn/) Powered by Discuz! X3.4