在官方通报及媒体报道的各类网络犯罪和网络违法案件中,侵害公民个人信息、盗取企业数据资产的情况屡见不鲜,已逐渐成为影响网络空间安全的最大风险。安全419梳理了2024年第二季度公布或报道的重大数据安全及个人信息泄露相关事件,作出如下观察:
数据泄露在网络空间安全风险链条上的普遍性
数据泄露一方面可以看作是各类网络安全事件带来的“结果”,即多种多样的内外部攻击手段,如勒索攻击、社工钓鱼、供应链攻击、内鬼窃密、APT攻击等等,或者是承载业务或数据资源的系统、账户在配置和操作上存在失误,都可能导致数据资源被窃取。
另一方面,数据泄露也是更多网络犯罪活动和网络安全风险的“起因”,比如数据泄露后不及时管控,将导致黑灰产大量交易、作恶,从而引发企业业务安全问题,面临高昂的恢复成本、声誉受损和监管部门的惩罚,以及公民个人信息被泄露后面临的精准化网络诈骗和源源不断的营销骚扰。
数据泄露渠道多元 企业自身安全短板导致内外夹击
从数据泄露的原因来看,主要可以分为内部威胁和外部攻击。内部威胁导致泄密的情况已经越来越频繁,这在执法部门通报的典型案例中最为常见,安全意识的缺失导致企业应有的安全管控制度、安全保障措施落实情况差强人意,内部员工因利诱而盗取、贩卖、共享用户数据、企业核心资料变得易如反掌,而事后却难以被追溯和定责。
更重要的是,因没有有效落实安全保护义务,信息系统弱口令、特权账户滥用、终端设备带毒运行、数据未分类分级、老旧系统存在漏洞等潜在的安全问题为外部攻击带来便利,抑或是第三方合作伙伴存在风险敞口,都会让黑灰产团伙无孔不入。
在近期发布的《2024年上半年数据泄露风险态势报告》中,威胁猎人的统计数据展示了更详尽的分析,数据泄露的主要渠道包括:短信通道泄露,随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益;运营商通道,黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息;内鬼泄露,企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖;黑客攻击,外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据;第三方泄露,和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中。
无论是何种原因及渠道导致的数据泄露,从攻防对抗上讲,黑灰产团伙的手法、工具总是在不停升级,企业因自身存在薄弱环节才会给予攻击方乘虚而入的机会,因此只有贯彻落实自身的主体安全义务,加强防御和响应措施提升安全水位,才能更大程度地避免安全事故的发生。
数据泄露分布广泛 高价值的数据密集型行业尤为严重
数据泄露事件可能发生在各行各业,相对而言,数字化程度高、数据密集体量大、数据资产价值高的领域更易成为重灾区。威胁猎人《2024年上半年互联网黑灰产研究报告》显示,2024年上半年数据泄露事件涉及85个行业,数据泄露事件数量前十的行业分别为银行、电商、消费金融、保险、快递、在线票务、证券、汽车品牌、支付和本地生活。
排名靠前的数据泄露行业中以金融、电商行业为主,金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖,通常被下游黑产团伙用于精准营销及诈骗,因涉及大量高价值用户数据,且靠近交易环节,成为了个人信息泄露的重灾区。
近年来线上购物发展更加火热,据今年的《中国互联网络发展状况统计报告》显示,截至2023年12月,我国网络购物用户规模达9.15亿人,占网民整体的83.8%。线上购物的持续稳定增长下,电商平台产生了海量购物订单及物流信息,这些购物订单及物流信息由于暴露面较大,成为了黑产团伙的重点目标,同样被用于营销或诈骗。
同时,在公安部近期公布的“十大高发电信网络诈骗类型”中,刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%。其中刷单返利类诈骗是发案量最大和造成损失最多的诈骗类型,虚假网络投资理财类诈骗的个案损失金额最大,虚假购物服务类诈骗发案量明显上升,已位居第三位,而金融、电商类用户群体正是此类诈骗案件的受害群体。
附:2024年第二季度全国数据泄露代表事件(不完全统计)
泄露上千户业主个人信息 一物业公司被业主起诉索赔
南充晚报6月28日消息,四川省南充市顺庆区一小区物业管家,将多个电子表格,发至小区商业微信群。这些电子表格中,有上千户业主姓名、身份证号、详细住址、家庭成员、产权面积、手机号码、工作单位等个人信息。随着电子表格被转发、传播,业主频繁接到“骚扰电话”,日常生活受影响。近日,天府华城小区8户业主将小区物业公司起诉至顺庆区人民法院。6月27日,法院对此案进行公开开庭审理。
香港中文大学被黑客入侵 泄露两万师生信息
6月13日,香港中文大学(CUHK)发布关于电子学习平台资料安全事故的公告,其专业进修学院的“Moodle网上学习平台”遭到了黑客攻击,Moodle是一个广为流行的开源课程管理系统,允许教育工作者为学校、学院和工作场所的在线项目创建个性化学习环境。公告显示,泄露数据涉及20870个Moodle账户,数据类型包括教师、学生、校友、访客的姓名、电子邮件地址和学号。虽然公告中表示敏感数据未在任何公开平台上泄露,但这些信息疑似在暗网BreachForums上售卖。
甘肃甘州公安查处6起酒店行业未履行数据安全保护义务案
6月10日消息,甘肃省张掖市公安局甘州分局网安大队在“祁连2号”行动中,发现张掖市某酒店管理服务有限公司等6家酒店,网络数据管理系统均存在数据泄漏的风险,未履行数据安全保护义务,严重影响公民个人信息安全。甘州分局根据《数据安全法》相关规定,对6家酒店依法给予行政处罚,责令立即整改。
骑一次被借贷推销骚扰一个月 单车平台疑泄露用户信息
福州新闻网5月23日报道,一福州市民4月3日在上海骑行了一次哈X共享单车,之后每周至少接到一次该单车公司旗下的贷款平台的推销电话和短信,称他贷款额度有20万元,有时候推销电话还会“伪装”成私人手机号码进行推销。用户怀疑个人信息可能被公司平移给旗下助贷平台,为其引流。
记者联系该单车平台,客服表示,用户在注册App时,签署的使用协议中有约定同意公司可向其推送此类信息,其中包含旗下的助贷平台,若用户觉得造成困扰可以拨打客服电话退订。律师认为,根据《个人信息保护法》规定,用户不知情情况下过度使用用户信息,涉嫌侵犯用户个人信息权。
两平台大规模出售企业家个人信息 包括多名百亿富豪
红星资本局5月14日消息,探X查、励X云两家平台大规模出售多位企业家个人信息,包括农夫山泉创始人钟某睒、荣盛集团董事长李某荣、蜜雪冰城实控人张某甫等百亿富豪。其中“探X查”号称“2亿+企业数据库”“10亿+线索联系方式”,980元包年,每月可查企业信息5000条。按最大查询量算,1条企业家信息售价0.016元。对于数据来源,两平台销售人员宣传是与电信运营商合作。
对此,中国移动回应,不会售卖任何用户个人信息。中国移动一直以来高度重视客户个人信息保护工作,制定《中国移动数据安全管理办法》等系列制度,建立客户信息常态化保护体系。中国联通答复,肯定不存在对外泄露、出售企业家手机号的行为。从公司的管理制度来说,肯定不允许泄露个人信息。
2B中国公民信息泄露 国外安全团队发现完整数据集
5月6日,Cybernews研究团队发现了一个专门针对中国公民的庞大数据集。其背后的实体可能无意中错误地配置了 Elasticsearch(数据存储和搜索工具)实例,并使数据泄漏到互联网上。这次发现的 COMB 是今年第二大泄漏事件,仅次于数据泄露搜索引擎打开的 Mother of All Breachs(MOAB)集合中的 260 亿条记录。
数据包括以下内容:
668,304,162 条包含 QQ 账号和电话号码的记录;
502,852,106条包含微博账号ID和电话号码的记录;
ShunFeng 子数据集中有 50,557,417 条记录,包括电话号码、姓名和地址;
Siyaosu 子数据集中有 8,064,215 条记录,包括姓名、电话号码、地址和身份证号码;
名为 Chezhu 的子数据集中有 746,310 条记录,泄露了姓名、电话号码、电子邮件地址、地址和身份证号码数据;
平安子数据集中的 100,790 条记录包含姓名、电话号码、电子邮件地址、家庭住址、订购的服务、卡号和支付金额;
捷代子数据集中的 78,487 条记录泄露了姓名、电话号码、地址、身份证号码、工作地点、教育水平、伴侣姓名和电话号码。
山西公安成功破获特大侵犯公民个人信息案
4月19日,山西长治屯留分局成功破获一起特大侵犯公民个人信息案,铲除一个在境外平台买卖公民信息的特大新型网络犯罪团伙,抓获犯罪嫌疑人7名,冻结涉案资金3000余万元,扣押涉案手机、电脑30余台。经查,犯罪嫌疑人通过非法手段获取公民姓名、QQ号、手机号、抖音号、淘宝号等个人信息数据后,进行“清洗”加工,利用境外平台作为日常联系、传输数据的媒介,通过虚拟货币的形式进行交易,从中获取巨额利润。
因未落实业主个人信息保护义务 甘肃10家物业公司被处罚
4月9日消息,甘肃天水武山县公安局在开展公民个人信息保护专项检查行动中,发现多家物业公司办公电脑随意存储大量小区业主家庭住址、身份证号码、联系方式等个人信息,并且存在内部管理制度及操作规程缺失、信息系统弱口令等严重问题,个人信息分类管理及加密去标识化制度没有落实,导致业主个人信息被泄露的风险极大。其中,3家物业公司因未落实保护义务,致使业主信息被售楼中心、二手房交易中心非法获取,多名住户被骚扰电话困扰。
武山县公安机关依法对这3家物业公司处以罚款5000元的行政处罚并责令限期整改,同时对非法获取个人信息的售楼中心、二手房交易公司分别处以罚款1万元的行政处罚。针对另外7家物业公司未落实个人信息保护义务的问题,处以警告的行政处罚并责令其限期整改。
西安网警成功打掉一出售公民个人信息团伙
公安部网安局4月1日报道,陕西省西安市未央网警近日成功打掉一个非法出售公民个人信息团伙,抓获犯罪嫌疑人124人,依法刑事拘留19人,冻结涉案银行卡账户13个。经查,犯罪嫌疑人李某注册某法律咨询公司,伙同万某等人,通过从其上线刘某处非法查询获取公民个人信息,公司通过抖音、快手等网络社交平台发布广告引流,身披法律咨询业务外衣,以为客户提供诉讼代理为由,行“有偿查询、提供公民个人敏感信息”之实。
经统计,该公司所提供的查询内容包括身份证号查地址、身份证查手机等个人敏感信息,索要价格在600元至2000元不等,存在集团式非法买卖、获取公民个人信息的犯罪行为。公司通过查询买卖他人信息非法获利270余万。目前,案件正在进一步侦办当中。
企业应如何应对数据泄露
针对猖獗如斯的数据泄露情况,威胁猎人建议企业全面提升对风险的识别及应对能力,了解风险事件的细节,包括对风险真实性进行验证,及时进行溯源、处置下架并跟进潜在风险,增强数据泄露风险监测及预警的及时性等。其提出的针对性的解决方案供大家参考:
1、全网情报监测及挖掘:覆盖暗网、匿名群聊、网盘文库、代码托管平台等各渠道,从不同维度持续提升渠道覆盖的全面性,包括新渠道的持续发现和更新、深层情报源(Deep Source)的专项挖掘、多语种的渠道覆盖。
2、数据泄露风险精准预警:针对监测到的黑产交易数据,通过风险真实性验证引擎+人工数据验证服务,提供综合的可信度评估结果,帮助企业精准感知风险、及时处置风险:
① 风险真实性验证引擎:基于“信源置信度要素、三要素匹配度要素、历史重合度要素”3个要素对风险真实性进行验证;
② 人工数据验证服务:通过二次验证、主动验证等方式进一步帮助企业精准感知风险。
3、「7×24」应急响应:通过深圳、重庆两大应急响应中心和全国各地的售后服务中心,对企业相关风险情报进行全天候监测、审核和预警,提供「7×24」样例获取、情报挖掘、协助溯源、处置下架等服务,同时提供月度数据泄露风险监测报告,以及典型风险事件分析结果。