文章摘要:原创 猎人君 威胁猎人Threat Hunter前言数据安全是数字经济发展的重要课题。长期来看,数据安全相关法律法规陆续出台和细化,今年7月6日国家公安部在维护国家网络和数据安全工作的新闻发布会上又提出“强化落实数据安全保护工作,为数字经济发展保驾护航”的要求,可见数据安全治理从监管法规落实到攻防实战是趋势;短期来看,企业一旦发生数据泄露,不仅品牌声誉会受损,还可能面临监管追责、法律处分或巨额罚款
原创 猎人君 威胁猎人Threat Hunter
前言
数据安全是数字经济发展的重要课题。长期来看,数据安全相关法律法规陆续出台和细化,今年7月6日国家公安部在维护国家网络和数据安全工作的新闻发布会上又提出“强化落实数据安全保护工作,为数字经济发展保驾护航”的要求,可见数据安全治理从监管法规落实到攻防实战是趋势;短期来看,企业一旦发生数据泄露,不仅品牌声誉会受损,还可能面临监管追责、法律处分或巨额罚款。
威胁猎人一直致力于业务反欺诈和数据安全的研究,基于多年沉淀的情报能力,持续关注和分析各行各业数据泄露态势、重点案例和攻防技术,并给出防御建议。
近期,威胁猎人发布《2023年Q2数据资产泄露分析报告》,数据显示,2023年Q2数据泄露情况不容乐观:
1)Q2数据泄露形势相比Q1更为严峻,2018 起数据泄露事件发生,涉及52个细分行业,数据类型包括用户信息、敏感代码等;
2)Q2数据泄露事件发生的原因多种多样,有企业内部原因,比如 API 存在缺陷被黑产攻击爬取数据、员工误将敏感信息外传等;也有外部原因,比如供应链泄露、短信渠道泄露等;
3)Q2发生了多起大规模的航空行业数据泄露事件,五一、端午等出行高峰期间,黑产围绕航空行业的攻击增多,共监测到有33家国内航空公司和旅游平台遭受攻击并泄露了用户信息。
2023 年 Q2 数据泄露风险概况
Q2数据泄露事件共2018起,比Q1增加一倍
2023年Q2,威胁猎人风险情报平台监测到数据泄露相关情报5400多万条,通过情报专家进一步筛选、验证和分析,梳理出有效的数据泄露事件共计2018起,是Q1的两倍之多;纵观2023年上半年,数据泄露事件整体呈上升趋势。
威胁猎人进一步分析发现,Q2发生的数据泄露类型主要为用户信息,占比超 90%,此外还有敏感代码、内部员工信息等。
物流、金融行业是数据泄露重灾区,供应链泄露是主要原因
从行业分布来看,Q2数据泄露事件涉及物流、借贷、银行、保险、证券等52个细分行业,其中物流和金融行业依旧是重灾区。
此外,随着旅游行业复苏,人们的出行量在Q2大幅度增加,黑产围绕航空行业的攻击随之增多,相关的风险事件频发,本报告第二章节会重点盘点航空行业数据泄露风险态势。
威胁猎人情报专家对泄露事件进行归因分析,发现有41.18%的数据泄露事件由供应链问题导致。
原因是供应链环节有很多中小型企业,这类企业对于数据安全管理投入成本低甚至没有,是黑产重点攻击对象,与之合作的甲方企业数据安全很难得到保障;其次是人为拍摄泄露,占比为22.12%,主要集中在物流行业。
Telegram 依旧是主要数据交易渠道,具备隐蔽性受黑产青睐
威胁猎人风险情报平台监测到的Q2数据泄露事件中,超过80%的事件交易和沟通在匿名社交软件 Telegram 发生,原因是 Telegram 具备隐蔽性,难以追溯到黑产本人,是黑产沟通和交易的首选渠道。
此外,在暗网、代码仓库(如 GitHub、GitLab 、Postman、bitbucket、coding 等)、在线文库(百度文库、豆丁文库、语雀等)、在线网盘(百度网盘等)等渠道,也监测到了数据泄露事件。
除 TG、暗网等渠道外,在线文库、网盘等渠道同样需要企业重点关注,虽然有关事件数不多,但是大多数事件泄露了内部机密信息,对企业的影响重大。
航空行业数据泄露风险洞察
今年旅游市场复苏,国内国际航班火爆,黑产围绕航空行业的攻击也在增多。
2023年Q2,威胁猎人风险情报平台监测到航旅行业风险情报173586条,涉及82起数据泄露风险事件、33家国内航空公司和旅游平台,主要为航空用户信息泄露。
通过对 Telegram 的监测信息来看,2023年Q2黑产针对航空行业的讨论增多,出现了大量求购“未起飞航空数据”的消息、多个发布“某某航空数据”的数据交易群等。
注:Telegram 上发布的求购“未起飞航空数据”的消息
关于数据交易情况,威胁猎人情报专家了解到黑产在售的航空数据交易单价一般在13-15元,有的数据售价甚至飙升到了20元,这些数据包含用户姓名、城市、年龄、手机号、身份证号、实时航班、客户等级等信息,基于此诈骗团伙能高效实施诈骗。
Q2出现了很多“不法分子利用航空数据诈骗”的新闻事件,因为被骗民众多、影响范围广,已引起国家反诈中心的关注:
诈骗人员伪装成航空公司工作人员,
发送“航班取消”等虚假短信给航空公司用户,
用户情急之下拨打短信内附的诈骗人员电话,
并在诈骗人员的引导下“下载 APP,填写银行卡号、验证码......”,
一步步陷入诈骗团伙精心编造的诈骗迷局,
直到收到扣款短信,才意识到自己被骗了,
相关航空公司面临投诉和监管追责。
供应链泄露是航空行业数据泄露的主要原因,这一点跟全行业的情况一致。下方以“多家航空公司共同供应商数据泄露事件”为例:
今年5月,威胁猎人在 Telegram 一个名为“××接单”的数据交易群内捕获黑产出售“实时未起飞机票数据”,泄露量级高达每日数千条。
注:Telegram 数据交易群发布的航空数据,已打码处理
威胁猎人情报专家对数据样本进行分析,初步推测是多家航空公司的共同供应商环节导致的数据泄露。
为进一步求证,威胁猎人情报专家得到涉事航空公司的授权后,采用社会工程学方法深入调查数据发布者,同时联合多家航空公司配合调查数据流转过程,确定数据泄露是由某机票代理商导致。
找到数据泄露的原因后,多家航空公司紧急切断了与涉事机票代理商的合作,同时要求其他供应商进行内部安全检查和整改。
后续威胁猎人也了解到,卖家不再能获取到以上航空公司的“实时未起飞机票”数据。
2023 年 Q2 值得关注的数据泄露案例
1万+家企业用户短信泄露,涉及金融、物流等行业
2023年Q1,发生了多起短信泄露事件,其中有一起事件涉及企业1000+家。到了Q2,短信泄露事件仍然很多。
2023年5月中旬,威胁猎人风险情报平台在 Telegram 监测到多个群聊和频道在出售2023年短信数据,黑产每日发布数据量高达300万条,涉及企业超过1万家,覆盖金融、零售、汽车、互联网、物流、电商等多个行业。
注:黑产发布“短信泄露数据”消息
在获得涉事企业的授权后,威胁猎人展开溯源,查询发现泄露短信中提到的快递单号等信息真实存在,暴露的手机号、姓名也能和实名信息完全对应。
为确定泄露源,威胁猎人情报专家分析了黑产发布的数据样本,发现文件修改者为“校对部”,推测该起事件的起因是某短信通道商员工作案,并配合企业进行溯源,最终定位泄露数据的短信通道商。
威胁猎人情报专家建议企业选择正规短信代理商,并要求代理商依据个保法要求对数据保护、加密、脱敏。
黑产扫号攻击成人教育机构,批量爬取用户手机号
今年6月,威胁猎人风险情报平台监测到,黑产对多个成人教育机构的登录接口进行扫号攻击,以此批量获取教育平台用户手机号。
注:黑产扫号爬取到的教育行业用户手机号
威胁猎人得到某教育机构的授权后,以该机构为例展开溯源,发现平台的账号登录接口 edu.api.××.cn/api/user/login 存在“错误提示不合理”的缺陷,黑产批量攻击该接口,在接口请求体中传入手机号,再根据显示的响应体进行过滤,从而筛选出注册过该平台的手机号。
如果传入的手机号未注册,响应体如下:
{ "code": 105, "msg": "您的手机号还未注册,请先注册" }
如果传入的手机号已经注册,响应体如下:
{ "code": 105, "msg": "密码错误" }
威胁猎人进一步分析攻击流量,发现攻击者 IP 来自于河北省保定市,IP 分布情况如下表所示:
在定位到问题之后,该教育机构将账号登录接口的错误提示修改为“用户名或密码不正确”,同时限制攻击 IP 访问,后续黑产不能再通过扫号获取到该机构的用户手机号。威胁猎人情报专家也建议企业全面梳理 API 资产,及时发现和修复缺陷 API,重点监测 API 调用量过大、频率过高等异常行为。
企业 GitLab 设置不当,重要代码等敏感数据遭泄露
GitLab 是一个常用的代码与文档管理工具,储存有企业的重要代码和文件,是威胁猎人风险情报平台监测的重点渠道。
近期,威胁猎人监测到某企业的 GitLab 项目支持任何人访问敏感文档、重要代码和数据库连接信息。
威胁猎人预警该企业,企业立刻展开调查,这才发现 GitLab 项目设置开放公网访问,同时项目的可见范围设置是 Public,如此一来,任何人都能访问 GitLab 项目,导致代码等重要资产泄露。
注:泄露的 Gitlab 项目
在 GitLab 创建项目的时候,项目的可见性可以设置为 Private、Internal 或 Public,如果将项目设置为 Public,同时 GitLab 又暴露在公网,有重要代码、敏感文件泄露的风险:
Private:得到授权的用户,才能查看这个项目
Internal:登录账号的用户,都能查看这个项目
Public:未登录账号的用户,都能查看这个项目
注:GitLab 项目“可见性设置”选项
同理还有 Postman(一个用于构建和使用 API 的平台),如果可见性设置不当,也会泄露内部 API 甚至是系统的账号密码。
注:Postman 泄露企业内部 API 的案例
威胁猎人情报专家建议企业存放重要代码、API 的系统,需要内部 VPN 访问或者限制 IP 白名单,同时定期审查系统,一旦发现问题要及时修复。
案例中的企业根据建议,将 Gitlab 应用设置为需要 VPN 才可以访问、可见性设置从 Public 改为 Private,及时阻断代码等重要资产大范围泄露。
企业语雀文档设置不当,导致服务器账号密码泄露
语雀是一个在线文档编辑与协同工具,企业常用于管理内部知识库,一旦泄露可能暴露企业敏感信息。
Q2威胁猎人风险情报平台监测到,某企业记录服务器账号密码的语雀文档任何人都可以访问,原因是内部员工失误,将文档的分享范围设置为“互联网所有人可访问”。
文档内容包括VPN、堡垒机、测试服务器、正式服务器、数据库的账号、密码、登录地址等机密信息,基于此黑产能顺利进入企业内部服务器,实施窃取机密文件等恶意行为。
注:企业记录机密信息的语雀文档泄露
威胁猎人情报专家建议,企业机密信息尽量不记录在在线文档,如有必要,一定要使用安全的平台并限制访问范围。
案例中的企业找到文档泄露原因后,下架了相关在线文档,同时借助威胁猎人全网搜索该文档内容是否扩散至其他网站。
快递公司管理系统信息泄露,涉及大量客户敏感信息
今年5月底,威胁猎人风险情报平台监测到 Telegram 上有黑产发布某快递公司内网管理平台的图片,图片中关于客户姓名、手机号、地址、下单时间、单号等敏感信息清晰可见。
注:快递公司内网管理平台信息泄露,已打码处理
该快递公司根据图片样式,初步推测是内部员工拍摄泄露的内网信息。
为进一步缩小“作案者”范围,快递公司拉取了具备该页权限的员工列表并查看相关员工日志,结合威胁猎人捕获的信息跟社工学方法,最终确定“作案者”是一个外包员工,该员工为赚取外快,偷偷通过“获取快递信息”的 API 接口批量爬取用户信息,拍摄照片卖给黑产。
对此,威胁猎人情报专家建议,企业应当加强数据跟人员角色的匹配,完善数据资产的访问监测与审计机制,避免内部员工的误操作或“内鬼”行为导致数据泄露。
教育机构员工误传文件至外网,导致员工信息泄露
通过威胁猎人的在线搜索功能,输入企业关键词,能查询到与之相关的数据泄露线报。基于此,威胁猎人发现某教育机构员工的用车行程单和身份证信息暴露在外部网站,信息包含员工姓名、手机号、身份证等敏感数据。
注:教育机构员工行程单泄露,已打码处理
威胁猎人将消息反馈给该机构,该机构通过跟相关员工沟通,确定是财务不小心将报销用的行程单和发工资用的身份证图片上传到了外部网站,导致员工信息泄露。
最后,该教育机构借助威胁猎人的数据泄露处置能力,快速下架暴露在外的敏感信息,及时阻断风险扩大。
数据保护建议
纵观2023年Q2数据泄露事件整体情况,导致企业数据泄露的发生既有企业内部安全管控不当的问题,如 API 存在安全漏洞易被黑产恶意利用、内部员工误操作或“内鬼”将敏感信息外传等,也有外部供应链安全建设不足、黑产攻击手法多样难对付等原因。
魔高一尺道高一丈,面对越来越多的数据泄露风险,企业也需要“内外兼治”,通过内部安全管控建设和外部威胁情报监测相结合的方式,加强数据安全保护体系,及时发现和阻断数据泄露风险,切实保障企业在数字化发展过程中数据安全合规和业务健康发展。
对内:加强数据安全建设
一方面,企业在“业务优先”的基础上,加强内部 API 安全建设,解决 API 不可视、可控两大问题。可通过 API 安全管控平台梳理 API 和流动数据资产,实现 API 资产的可视;并借助情报主动识别未授权、越权访问等 API 缺陷,以及扫号、数据爬取等攻击威胁,实现 API 风险的整体可控,快速建立有效的安全防线。
另一方面不断加强内部管理,建立和完善相关规章制度,并开展数据安全培训、科普相关法律法规,培养员工的安全意识和素养,尽量避免甚至杜绝员工问题引发数据泄露的可能。
对外:及时监测风险情报
通过引入外部风险情报,及时监测外部攻击风险,企业可通过威胁猎人风险情报平台,全网监测黑产的数据交易渠道、敏感文件和代码的外发渠道等,及时感知与企业相关的数据泄露风险,避免大规模数据泄露影响业务正常发展,利用外部情报监测更好地保护企业数据资产。
做到内部数据安全和外部威胁情报监测两者结合,企业才能在数字化建设与创新发展的道路上,走得又快又稳。
原标题:《2023年Q2数据泄露事件2018起,比Q1增加一倍,涉及52个行业!》来源:澎湃新闻