原創 獵人君 威脅獵人Threat Hunter

2023年，各行業全面數字化，加速業務創新發展的同時，確保大量數字資產及云上業務的數據安全，成為不少企業面臨的“兩難之境”。

因數據泄露問題產生的影響及損失進一步擴大，對各行業關鍵領域造成嚴重影響。

威脅獵人發布《2023年數據泄露風險年度報告》，對2023年數據泄露風險概況、黑產數據交易市場等進行具體分析，數據顯示：

1、2023年，全網監測并分析驗證有效的數據泄露事件超過19500起，涉及金融、物流、航旅、電商、汽車等20余個行業；

2、金融行業超過物流行業，成為2023年公民個人信息泄露事件數量最多的行業；2023年航旅行業公民個人信息泄露事件數量也出現大幅增長，在公民個人信息泄露的行業分布中首次排名前三；

3、從數據泄露渠道來看，主要集中在更加隱蔽和便利的匿名群聊、暗網渠道；值得一提的是，公民個人信息泄露事件的數據交易時間中，夜間交易的超過50%，在非工作日交易的超過30%。

相關名詞定義

1、數據泄露情報：威脅獵人通過TG群、暗網等渠道捕獲到的“未授權個人/組織敏感信息被公開交易或使用” 的情報信息，可能包含歷史數據、重復數據等，往往量級巨大；

2、數據泄露事件：威脅獵人安全研究專家針對數據泄露情報的樣例等進行分析及驗證，確認為真實、有效的數據泄露事件；

3、公民個人信息：指公民個人身份信息，包括但不限于姓名、身份證號碼、出生日期、手機號碼、家庭住址、銀行賬戶信息等；

4、歷史個人信息：指此次數據泄露事件之前就已經泄露過的個人信息，很多歷史個人信息被黑產收集整合成社工庫；

5、企業敏感代碼：指企業的核心代碼、算法、技術、密碼等敏感信息，具體包括軟件源代碼、數據庫結構、API密鑰、訪問憑證、加密算法等；

6、企業敏感資料：指企業的機密文件和敏感資料，包括但不限于合同、商業計劃、財務報表、市場調研報告、客戶列表等；

7、暗網：指隱藏的網絡，普通網民無法通過常規手段搜索訪問，需要使用一些特定的軟件、配置或者授權才能登錄；

8、私域群：需通過邀請鏈接/管理員同意后才能進入的群組，一般外部人員無法監測或進入該群聊。

一、2023年數據泄露風險概況

1.1 2023年監測數據泄露事件超19500起， 金融、物流、航旅等行業是數據泄露重災區

據威脅獵人數據泄露風險監測平臺數據顯示，2023年全網監測到的近1.5億條情報中，分析驗證有效的的數據泄露事件超過19500起。

從行業分布來看，2023年數據泄露事件涉及二十余個行業，數據泄露事件數量Top5行業分別為金融、物流、航旅、電商、汽車。

1.2 金融行業數據泄露事件8758起位列第一，航旅行業躍居第三

2023年，金融行業依舊是個人信息泄露重災區，數據泄露事件數量8758起，涉及銀行、保險、證券等行業高凈值人群信息，主要源于下游黑產用于營銷推廣以及詐騙的收益價值更高。

從金融細分行業來看，數據泄露事件數量發生最多的是銀行業，全年共發生4293起，其次為網絡借貸、保險、證券及支付行業。

金融行業典型數據泄露事件案例：

以某金融企業為例，其用戶貸款信息等被泄露在某知名中文暗網上，泄露數據量級超過72000條，該數量仍在每日不斷更新增加，黑產以199美元進行售賣，截至目前已成交2單，瀏覽超過2200次。

調查發現，黑客通過攻擊滲透爬取該金融企業數據，如果企業未能及時感知數據泄露風險，缺乏有效的防御及處置措施，將會帶來難以消弭的經濟損失及品牌聲譽影響。

值得一提的是，航旅行業位列第三，成為數據泄露重災區之一。隨著新冠疫情好轉，旅游行業回暖態勢明顯，消費需求得到強勁釋放，機票信息、酒店信息等旅客信息數量也出現大幅增長。

威脅獵人安全研究員觀察到，2023年因航班信息泄露而遭遇“退改簽”詐騙的事件頻發，黑產團伙在精確獲得乘客姓名、證件號、航班號等信息后，通過機票改簽的方法實施網絡詐騙，詐騙成功率較高。

航旅行業典型數據泄露事件案例：

威脅獵人數據泄露風險監測平臺在Telegram數據交易群“黑客接單”中捕獲到黑產發布“實時機票 未登記”的敏感信息，包含了旅客姓名、手機號、身份證號、航班信息等各類敏感信息。

進一步分析發現，該份旅客數據涉及多家航空公司，初步判定為多家航空公司的共有合作方泄露導致。據了解，航旅類用戶個人信息的交易單價大部分在13-15元不等，其中最高達20元。

1.3 數據泄露原因包括運營商通道泄露、內鬼泄露、黑客攻擊等

從數據泄露的具體原因來看，2023年數據泄露原因包括運營商通道泄露、內鬼泄露、黑客攻擊、安全意識問題等。其中，因運營商通道泄露引發的數據泄露事件數量最多。

運營商通道：黑產通過運營商內鬼或違規代理等渠道，獲取到指定網頁的訪問數據、指定應用的安裝數據、指定短信的接收和發送數據等信息；

內鬼泄露：企業內部員工在利益的驅使下，采用資料導出、人工拍攝等方式，獲取客戶敏感信息后進行售賣；

黑客攻擊：外部黑客使用爬蟲、掃描、滲透等方式攻擊企業系統和網絡資產，利用企業網絡漏洞大規模竊取數據;

安全意識問題：企業內部員工在工作過程中，無意識間把公司內部的重要文件、文檔、代碼等，上傳到網盤文庫、代碼托管平臺等公網環境，導致敏感信息泄露；

第三方泄露：和企業存在合作關系的第三方，具有訪問企業某些敏感數據的權限，但由于管理不規范等問題，導致這些敏感數據通過第三方泄露到黑產手中;

1.4 Telegram、暗網是數據泄露的主要渠道，占比高達92%

2023年威脅獵人監測到的數據泄露事件中，發生在Telegram及暗網的達92%以上，其中82.26%集中在Telegram，10.01%發生在暗網，主要原因是 Telegram及暗網渠道的隱蔽性較高，難以追溯到黑產本人，是黑產溝通和交易的首選渠道。

此外，威脅獵人在代碼倉庫（如 GitHub、GitLab 、Postman等）、網盤文庫等渠道也監測到了數據泄露事件。

截至2023年12月，威脅獵人數據泄露監測情報覆蓋了Telegram近2萬個頻道/群聊，在超過1700個頻道/群聊中發現公民個人信息泄露風險事件。

1.5 2023年“公民個人信息”依舊是數據泄露的主要類型，占比超90%

從數據泄露的類型來看，2023年泄露數據類型主要有3種：公民個人信息共計18347起（93.68%）、敏感代碼共計727起（3.71%）、敏感文件資料共計510起（2.6%）。

其中公民個人信息類型的數據泄露占比最高，達93.68%，作為下游黑灰產主要作惡的數據類型，下文將針對公民個人信息數據泄露具體分析。

1.6 2023年公民個人信息泄露的特征及趨勢

1.6.1 包含“手機號”的公民個人信息泄露超過80%，主要用于精準營銷/詐騙作惡

2023年公民個人信息泄露事件超18000余起，其中泄露信息字段包含“手機號”的超過80%，主要被下游營銷/詐騙團伙用于對相關手機號發送短信、電話營銷等，進一步實施非法作惡行為。

2023年公民個人信息泄露事件中，“姓名+手機號+身份證號+銀行卡號”這類數據字段組合出現的頻率最高，相關數據泄露事件出現近900起。

從這類數據字段組合出現頻率較高的原因來看，一方面下游黑產團伙可以基于完整的數據字段及公民畫像信息，進行定向性作惡，使整體作惡成功率及收益更高；

另一方面，部分上游黑產團伙因技術手段受限，僅能獲取到“手機號”字段，黑產團伙會通過多種方法拼接個人信息、補齊數據字段信息，從而提高數據的價值。

泄露字段TOP10：

1.6.2 黑產二次拼接“歷史個人數據信息”，并進行多次販賣的現象頻發

威脅獵人對公民個人信息販賣情況調查后發現，數據交易黑市存在歷史數據信息被黑產中介進行二次整合，并進行多次販賣的現象。

盡管數據此前已被買家用于作惡，二次作惡效果明顯下降，但黑產中介會以較低的價格進行出售，并以此牟利。

首先，黑產通過一些非法渠道獲取初步的公民個人信息（如手機號），而后通過包含歷史泄露信息的社工庫等渠道，進行數據精細化處理，補充數據字段完整性，從而提升公民個人信息的價值及盈利空間，具體方式包括：

1、通過瀏覽器等公開渠道，查詢相應手機號碼的具體歸屬地、運營商信息；

2、利用社工庫，通過手機號碼進一步查詢號主的身份信息；

3、針對特定平臺網站的用戶，中介機構執行校驗查詢，對數據進行清洗并過濾無效手機號；

4、運用Apple提供的公開API以及一些自動化腳本工具，實現全自動檢測號碼是否注冊iMessage、開通FaceTime來區分iOS用戶等功能，讓數據更完整從而提升數據價值。

1.6.3 公民個人信息在夜間交易的超過50%，在非工作日交易的超過30%

威脅獵人研究統計發現，2023年公民個人信息泄露事件中的數據交易時間中，非工作日（周末、節假日）發生的事件數量高達31.21%，夜間發生的事件占比高達51.88%，超過一半。（夜間：18:30至次日09:30）

在防守最薄弱的時候，企業難以在數據泄漏事件爆發時快速感知、及時響應，以至于錯過最佳應對時機，給企業資金、品牌聲譽及商業競爭帶來重大影響。

1.7 2023年除公民個人信息泄露外，敏感代碼、資料文件等信息泄露超1200起

2023年數據泄露事件類型中，除了公民個人信息之外，還有企業敏感代碼、敏感資料文件等信息類型。

1.7.1 敏感代碼泄露渠道以代碼倉庫為主，包括數據庫賬密、源碼等信息

其中，企業敏感代碼泄露事件發現超過727起，主要集中在Github、Gitee等代碼倉庫平臺，占總體量的98.76%。

敏感代碼泄露的內容類型上，以數據庫賬密、源碼信息為主，具體包括內網、公網賬號密碼等，由于涉及大量內部敏感信息，敏感代碼泄露帶來的影響和損失同樣不容小覷。

敏感代碼泄露的原因主要歸結為企業內部員工安全意識問題、第三方合作泄露及外部黑客攻擊，這一點與公民個人信息類數據交易作惡的原因有所不同。

1.7.2 敏感資料泄露渠道以在線文庫/云盤為主，主要由企業內部安全意識問題引發

企業敏感資料泄露事件發現超過510起，主要為企業內部安全意識問題引發，例如誤上傳到在線文庫、云盤所導致。

二、2023年黑產數據交易市場相關研究

2.1 超過45個暗網平臺通過“高級會員”等形式提升訪問門檻

隨著非法數據交易市場和黑客論壇逐漸走向公開化，為了提升訪問門檻和增強平臺安全性，同時實現更高的經營利潤，越來越多的暗網論壇以及交易市場開始升級會員體系，使得更有價值的資源及互動需要付費成為會員才能獲取和參與，普通用戶僅能享受有限資源和受限互動。

威脅獵人對暗網交易市場以及黑客論壇進行調研，發現有超過45個暗網市場以及論壇需通過付費注冊、積分解鎖、充值會員、邀請碼、點贊回復、升級VIP等方式進一步查看具體數據交易模塊以及相關帖子內容，充值會員、付費查看信息的價格從數百美元至數千美元不等。

著名的俄羅斯數據交易論壇“russianmarket”的網站訪問需充值100美元進行注冊：

2.2 超過1500起風險事件在Telegram“私域群”發現

上文提到，2023年威脅獵人監測到的公民個人信息泄露事件中，82.26%集中在Telegram，10.01%發生在暗網。作為公民個人信息泄露的主要渠道，我們將對Telegram及暗網進行進一步分析。

為規避相關法律政策打擊，大多數黑產團伙開始轉向私域群進行交易，數據交易團伙也對自身的賬號信息進行匿名隱藏。

Telegram渠道監測到風險事件最多的頻道/群聊為私域群，威脅獵人在私域群累計發現超過1500起風險事件。

此外，為了加強渠道的可信度，確保數據交易順利進行，一些黑產團伙會組建“公群”，相當于擔保機構，如匯旺擔保、神馬擔保等。

公群會組織整理資源群、供需群、擔保群等，承接項目需求及各項資源對接，在數據交易過程中進行擔保。公群也會設置為單獨的私域群，交易者通過邀請鏈接/管理員同意后才能進入。

數據交易頻道/群聊TOP5

數據交易黑產團伙TOP5

2.3 黑產交易數據形式逐漸由“數據文件類”轉化為更隱蔽的“純消息類”宣傳

在市場監管及政策打擊下，黑產數據交易的宣傳形式變得更加謹慎，以更好地規避風控和保護自身利益。

以某金融行業為例，威脅獵人對金融行業2023年黑產數據交易宣傳形式的變化趨勢進行分析。2023年1月到8月期間，黑產交易主要以“數據文件類”宣傳為主，黑產交易者通過發布各類數據文件的樣本和描述，吸引潛在買家進行交易。

隨著監管力度加大和市場風險上升，2023年9月，黑產交易宣傳形式逐漸轉換為以“純消息類”宣傳數據交易。

黑產交易者通過加密消息、暗號和私密聊天等方式與買家進行交流聯絡，更加隱蔽而難以被監管機構察覺。

2.4 不同黑產交易數據格式中，短信劫持格式的數據準確性最強

黑產對數據評估的維度主要有兩個方面，一是數據的時效性，二是數據的準確性。

威脅獵人對數據交易黑產進行深入調研發現，不同格式數據的準確性以及時效性均有所不同。主要為短信劫持格式、DPI格式、SDK格式的信息數據，據了解每日可穩定產生的數據量高達萬余條。

在準確性方面：短信劫持格式的數據>DPI格式的數據>SDK格式的數據；

在時效性方面：DPI格式的數據>SDK格式的數據>短信劫持格式的數據。

威脅獵人針對該泄露數據樣本進行驗證后發現，不同格式數據的準確率確實有所不同，結果與數據交易黑產描述的一致。

在準確率方面：短信劫持格式的數據>DPI格式的數據>SDK格式的數據，具體原因如下：

1、短信劫持格式的數據：包含短信內容，數據真實性方面基本確認為真實接受到短信通知的公民個人信息；

2、DPI格式的數據：主要為流量解析的數據，主要通過運營商側獲取到的流量數據，因此真實性較低，據威脅獵人調查統計，該類數據的真實性基本不超過20%；

3、SDK格式的數據：主要通過解析軟件包名信息，再提供到運營商側獲取下載流量，且存在應用市場軟件刷量或未進行注冊的用戶信息的情況，因此真實性最低。

2.5 2023年黑產數據交易形勢變化以及下游作惡新手法

2.5.1 航旅行業“退改簽”詐騙事件頻發且成功率較高

威脅獵人對數據交易市場下游作惡團伙調研發現，2023年航旅行業出現大量黑產團伙通過機票改簽的方法實施網絡詐騙，詐騙成功率較高。

2023年隨著新冠疫情好轉，旅游行業回暖態勢明顯，消費需求得到強勁釋放，機票信息、酒店信息等旅客信息也出現大幅增長，航旅出行方面的公民個人信息備受下游黑產詐騙團伙的青睞。

案例：詐騙團伙通過偽裝成航空公司工作人員電話聯系航班旅客，稱航班出現延誤，可進行改簽或者退票操作，同時以獲得“高額理賠”為由誘導用戶下載視頻會議、遠程共享等操作，逐步陷入詐騙團伙的陷阱，通過獲取用戶的銀行卡、支付寶、驗證碼等敏感信息后，轉移盜取旅客資金。

2.5.2 第三方擔保、區塊鏈付款為黑產數據交易再添安全保障

第三方擔保：

過去，交易雙方通常采取一對一的方式，即一方付款，另一方交付數據。由于近年來不斷爆發的交易詐騙和交易跑路事件，數據交易市場變得更加混亂，一對一的交易方式變得不再可行。

為了避免被騙，數據交易黑產團伙逐漸改變交易方式，開始依賴于中介擔保平臺和第三方擔保平臺進行交易，為交易提供了更可靠的保障，使得交易更加安全和可信。

區塊鏈付款：

過去，黑產常常通過口令紅包、支付平臺轉賬等方式進行交易付款。由于這些付款方式易被追蹤和控制，加上近年來司法機關對數據交易黑產團伙的嚴厲打擊，導致數據交易的黑產團伙不得不改變交易付款方式，逐漸轉向只采用加密貨幣進行支付。

加密貨幣具有匿名性和去中心化的特點，使得交易雙方的身份得以保密，并且很難被監管機構追蹤和控制。

因此，采用加密貨幣支付款項成為黑產團伙數據交易的新趨勢。這種變化進一步增加了打擊黑產團伙數據交易的難度，需要采取更加有力的措施來保護數據交易市場的安全和穩定。

2.5.3 金融行業“全格式”信息數據交易價格最高，單價達25元

威脅獵人調研統計發現，在利益的驅動下，上游黑產竊取的數據類型發生了變化。

在金融行業，公民個人信息數據的價值與其所包含的字段數量密切相關。

“全格式”信息通常包含身份證、姓名、手機號、銀行卡、貸款信息、地址等字段，下游黑產可通過完整的公民畫像信息實現精準作惡，因此“全格式”數據的價格最高，單條數據價格可達25元。

相比之下，僅包含手機號字段的公民個人信息數據，由于下游作惡團伙的作惡方式受限，其收益較低，數據價格一般在3毛左右。

此外，不同行業的數據價格也存在差異。例如金融行業的公民個人信息針對高凈值人群，持有資金較多，因此數據價格較貴；學生信息數據因下游作惡收益較低而相對便宜。

這種差異性定價反映了不同行業對于公民個人信息的需求和價值認知。

三、多維度提升數據泄露風險預警能力

從2023年數據泄露風險現狀來看，企業需要重點關注以下問題：

1、黑產二次拼接“歷史個人數據信息”，并進行多次販賣的現象頻發

數據交易市場存在著大量的黑產販賣虛假數據、拼接數據、歷史數據、交易詐騙等行為，企業對數據的真偽校驗存在一定的難度。

2、公民個人信息在夜間交易的超過50%，在非工作日交易的超過30%

2023年公民個人信息泄露事件的數據交易時間分布中，非工作日（周末、節假日）發生的事件數量高達31.21%，夜間發生的事件數量占比高達51.88%，超過一半。

3、金融行業數據泄露事件數量超8700起，在數據泄露行業分布上位列第一

金融行業依舊是個人信息泄露重災區，數據泄露事件數量超8700起，涉及銀行、保險、證券等行業高凈值人群信息，主要源于下游黑產用于營銷推廣以及詐騙的收益價值更高。

針對以上情況，企業需要全面提升對風險的識別及應對能力，了解風險事件的細節，包括對風險真實性進行驗證，及時進行溯源、處置下架并跟進潛在風險，增強數據泄露風險監測及預警的及時性等。

對此，威脅獵人提出了針對性的解決方案：

1、加強風險真實性驗證：在全網情報監測及深度挖掘的基礎上，針對監測到的黑產交易數據，通過風險真實性驗證引擎+人工數據驗證服務，提供綜合的可信度評估結果，幫助企業精準感知風險、及時處置風險。

其中，風險真實性驗證引擎基于“信源置信度要素、三要素匹配度要素、歷史重合度要素”3個要素對風險真實性進行驗證，幫助企業精準感知風險，為企業和個人提供更可靠的數據安全保護。

2、「7×24×365」應急響應：2023年10月，威脅獵人成立數字風險應急響應中心（DRRC），對企業相關風險情報進行全天候監測、審核和預警，提供「7×24×365」樣例獲取、情報挖掘、協助溯源、處置下架等服務。

數據泄露風險監測及預警能力需要從多維度持續提升，只有不斷加深對企業自身及行業風險態勢的全面認知，才能為企業數字化的高效、可持續發展夯實安全底座。

原標題：《2023年數據泄露風險年度報告》

閱讀原文