数据泄露态势月度报告 (2023年9月) 北京数字世界咨询有限公司&北京零零信安科技有限公司 数据泄露态势月度报告 2023年9月 北京数字世界咨询有限公司&北京零零信安科技有限公司 数字世界以网络连接为基础,以数据流动释放价值,以人工智能塑造未来。 数字安全以网络安全为基本手段,以数据安全为核心目的,支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界,安全共生! 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构、企业用户等合作伙伴提供数字安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 数世咨询&零零信安 数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司(以下简称数世咨询)。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目 录 第一章数据泄露概况2 1、按国别分类2 2、按行业分类3 第二章重大事件抽样分析4 1、美国教育部数据泄露4 2、伊拉克情报局数据泄露4 3、南非国防部数据泄露5 4、ETF数据公司(VettaFi)数据泄露6 5、安哥拉国家石油公司数据泄露6 6、***购物快递数据泄露7 7、**部数据库4.79亿泄露(伪造)8 8、**习通1.4亿数据泄露8 9、***培训机构数据泄露9 10、***保险10万数据泄露10 第三章勒索软件和黑客组织11 1、活跃商业黑客组织TOP1011 2、黑客组织活度趋势12 3、本月黑客组织行动13 4、本月典型事件说明14 目 录 5、典型黑客组织简介(Lockbit3)15 第四章匿名社交社群17 •数据泄露态势月度报告(2023年9月)• 在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。 为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。 本期报告的统计区间为2023年8月。 第一章数据泄露概况 ●2023年8月共监控到全球暗网、深网情报2,293,202份。其中,泄露数据交易情报38,045份,清洗、去重后的有效数据泄露情报7,941份。 ●本月度监测到数起超十亿行的二要素个人数据泄露,全球整体数据泄露量达到近百亿行。排除该类数据泄露,具有明确泄露源的非二要素数据泄露约为5-7亿行。 1、按国别分类 其中美国是数据泄露第一大国,共泄露数据1,498份,其他数据泄露较多的国家还包括:中国、法国、英国、意大利、印度、德国、巴西、俄罗斯等。详情如下图所示: •数据泄露态势月度报告(2023年9月)• 在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。 2、按行业分类 8月份行业属性数据占泄露数据总量约30%左右,泄露的行业数据主要包括:信息和通信行业、金融行业、艺术和文娱行业、教育行业、批发和零售业、政府和军队等。70%左右的泄露数据无明显行业属性,包括二要素数据、无明显泄露源的公民数据、批量的企业工商数据等。详情如下图所示: 第二章重大事件抽样分析 1、美国教育部数据泄露 涉及国家:美国 发布时间:2023.8.17泄露数量:27,000,000 售卖/发布人:CyberNiggers 事件描述:2023.8.17某暗网数据交易平台有人宣称获取并出售美国教育部整个数据库,总量为2700万条,并提供了样例数据。样例数据中显示,该数据库包含用户名、手机号、类型、主题、反馈等字段。 2、伊拉克情报局数据泄露 涉及国家:伊拉克 发布时间:2023.8.28泄露数量:22,356,634售卖/发布人:0BITS •数据泄露态势月度报告(2023年9月)• 事件描述:2023.8.28某暗网数据交易平台有人宣称获取并出售伊拉克情报局数据,总量为2000余万条(15.7GB),并提供了样例数据。样例数据中显示,该数据库包含姓名、地址、身份证、工作、工资等字段。值得注意的是,该售卖者有明显的政治或个人偏好,其在同一平台上还发布和出售科索沃公民数据、卡塔尔司法部、伊拉克内政部等泄露的数据。 3、南非国防部数据泄露 涉及国家:南非 发布时间:2023.8.28泄露数量:1.6TB 事件描述:2023.8.28某暗网数据交易平台有人宣称获取并出售南非国防部数据,总量为1.6TB,并提供了样例数据。样例数据中显示,该数据库包含南非各级军官联系方式,包括姓名、电话、邮箱等字段。 4、ETF数据公司(VettaFi)数据泄露 涉及国家:美国 发布时间:2023.8.29泄露数量:60,000,000 事件描述:2023.8.29某暗网数据交易平台有人宣称获取并出售ETF数据公司(VettaFi)数据,该公司是一家金融服务数据公司。泄露数据总量为6000万条记录和27万用户数据,记录数据包含从上世纪90年代以来的股票交易记录,用户数据包括用户数据、合作伙伴和资产评估等数据,并提供了大量样例数据。 5、安哥拉国家石油公司数据泄露 涉及国家:安哥拉 发布时间:2023.8.24泄露数量:210GB •数据泄露态势月度报告(2023年9月)• 事件描述:2023.8.24某勒索软件组织在暗网数据交易平台发布了从安哥拉国家石油公司窃取的210GB数据,并提供免费下载。黑客宣称安哥拉国家石油公司没有按照其要求的72小时内进行回复和缴纳勒索金额,所以将窃取的所有数据免费开放下载,以提供给勒索对象的供应商、承包商、员工和一切需要该数据的人。值得注意的是,我国与安哥拉国家石油公司也有合作与战略签约。 6、***购物快递数据泄露 发布时间:2023.8.29泄露数量:1,000,000 售卖/发布人:y*********9 事件描述:2023.8.29某暗网数据交易平台有人宣称出售***购物快递数据,总量为100万,并提供了数十条样例数据。样例数据中显示,该数据库包含平台、品类、采购商品、价格、买家姓名、手机号、地址、快递单号、快递公司等字段,数据最晚更新时间为2023年3月。该数据提供了售卖价格100美元。 7、**部数据库4.79亿泄露(伪造) 发布时间:2023.8.19泄露数量:479,082,385 售卖/发布人:ChinaLeak 事件描述:2023.8.19在某暗网数据交易平台中有卖家宣称出售中国安全部数据库4.79亿条,经零零信安研究员核验,该售卖贴中的数据均为无价值数据,其为2023年7月在同一论坛上以“中国客户数据-2023”的名义转储的数据样本稍加修改而来,只包含部分中国企业数据,该售卖信息为伪造数据并进行诈骗。 8、**习通1.4亿数据泄露 发布时间:2023.8.5 泄露数量:140,000,000售卖/发布人:4*******8 •数据泄露态势月度报告(2023年9月)• 事件描述:2023.8.5某暗网数据交易平台有人宣称出售**习通客户数据,总量为1.4亿,并提供了数十条样例数据。样例数据中显示,该数据库包含姓名、手机号、身份证、机构等字段,据售卖人提供的消息,其为**习通2019-2022年的客户数据。该数据提供了售卖价格49.99美元。值得说明的是,该数据早些时候(7月份)以20美元在同一平台被出售。另外,**习通曾在2022年被指出存在1.7亿客户数据泄露,当时该公司发表声明澄清“其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,网上传言密码泄露是不实的,收到用户数据疑似泄露的消息后,公司已连续技术排查十余小时,暂未发现明确的用户信息泄露证据,公安机关已介入调查。” 9、***培训机构数据泄露 发布时间:2023.8.17泄露数量:20,000 售卖/发布人:1********5 事件描述:2023.8.17某暗网数据交易平台有人宣称出售***青少年英语客户数据,总量为2万,并提供了数十条样例数据。样例数据中显示,该数据库包含手机号、所在城市、父母及子女信息等字段。该数据提供了售卖价格50美元。 10、***保险10万数据泄露 发布时间:2023.8.21泄露数量:100,000售卖/发布人:s***l 事件描述:2023.8.21某暗网数据交易平台有人宣称出售2022年***保险客户数据,总量为10万,并提供了数十条样例数据。样例数据中显示,该数据库包含产品名称、投保金额、姓名、身份证、手机号、邮箱、地址、收入等字段。该数据提供了售卖价格34美元。 •数据泄露态势月度报告(2023年9月)• 第三章勒索软件和黑客组织 1、活跃商业黑客组织TOP10 近1年(2022年9月-2023年8月)全球活跃的商业黑客组织(有勒索 发布行为)共62个,公开的勒索事件共4,031件,TOP10的黑客组织如下所示: TOP10的商业黑客组织公开发布的勒索事件占全部事件的73%,其主要攻击目标为金融、能源、运营商、政府等关键基础设施行业,以及高科技和IT企业。如下所示: 2、黑客组织活度趋势 下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强,但整体活跃度趋势正在逐步增加,统计末端 (2023年8月)已比统计初始(2022年9月)增加了253%: 随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,如下图所示: •数据泄露态势月度报告(2023年9月)• 3、本月黑客组织行动 本月共监控到全球30个商业黑客组织进行了行动,共公开了631起事件。最活跃的黑客组织是Clop和Lockbit3,分别发布了237和124起事件,如下所示: 由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取不同组织的样例事件,并对其中1-2个事件进行细节说明: 事件 国家 时间 黑客组织 NewYork&Company 美国 2023/8/31 akira cm.gov.nc.tr 土耳其 2023/8/29 Lockbit3 stshcpa.com.tw 中国台湾省 2023/8/28 cloak Shanghai***Research***.,Ltd. 中国 2023/8/27 8base Cncb***tional.com 中国 2023/8/20 Clop ftria.co.jp 日本 2023/8/15 noescape 4、本月典型事件说明 本月最活跃的商业黑客组织Clop在月中左右攻击了我国**信银行(国际),对其进行加密勒索和数据窃取,并于2023.8.20将其公布在互联网上。 Clop对企业进行攻击和勒索,并在其官网进行声明: 现在我们公布了许多公司的名称和证据,我们有他们的秘密和数据。有些公司没有加快速度,决定保持沉默。我们是非常合理的运营商,在适当的情况下,我们提供大幅折扣,以阻止您的数据被出售和发布。建议您联系我们并开始讨论如何阻止数据的公开。8月15日,我们开始公布名单上所有未联系的公司。您的数据将在明网和暗网上发布。对于大公司,我们还创建明网的URL链接来帮助谷歌为您的数据编制索引。此外,所有数据均提供下载,下载速度非常快。你无处可逃! 我国该企业并未因受其威胁而妥协,但随之遭受其报复: Clop不仅加密了该企业的系统和数据,公布了其信息,还将窃取