2021 年度凭证曝光报告

2021年年度凭证 曝光报告 2021年度凭证曝光报告 概览趋势 凭据暴露密码哈希 个人识别信息2020年十大违反政府凭证暴露你的行动计划 SPYCLOUD.COM Overview 每年，SpyCloud凭证曝光报告都会审查前一年网络犯罪分子共享的数据 ，并探讨其对企业和消费者的意义。 2020年不是典型的一年。全球COVID-19大流行迫使人们提高了对不断存在的威胁的认识，为犯罪分子打开了无数新的大门，并让安全界争先恐后地赶上并理解这一切。然而，许多事情仍然是一样的。根据我们的调查结果 ，猖獗的密码重复使用仍然是一个问题，使企业及其客户面临账户接管 (ATO)的风险。 在2020年，犯罪分子没有浪费时间利用我们的集体脆弱性。早在3月份，就有大量活动利用冠状病毒通过各种威胁类型操纵用户，从冒充公共卫生官员的网络钓鱼活动到承诺免疫的诈骗活动。就像病毒助长犯罪活动一样，它也推动了向远程工作的根本转变。几乎一夜之间，许多企业不得不迅速改变员工使用技术的方式。因此，通常会跨越数年的举措被仓促实施，暴露了弱点。与此同时，用户在网上花费了更多的时间，创建了更多的在线账户，并在工作、个人和家庭在线活动之间混合了更多的界限，扩大了犯罪竞争环境 。 135+B 已恢复 违约资产 24+B 已恢复 密码 29+B 电子邮件 地址 200+ PII类型 在这个不寻常的时期，SpyClod的研究人员已经嵌入到犯罪网络中，利用人类智能(HUMINT)在被盗数据到达更广泛的犯罪受众或上市之前恢复数据。由于我们在泄密生命周期的早期收集数据，因此我们可以帮助企业在最危险的表单帐户接管开始之前保护其员工和消费者帐户。由于这项工作，我们在过去一年收集的数据提供了对过去一年向犯罪社区发布的漏洞和僵尸网络日志的独特见解。 仅在2020年，我们的团队就康复了近15亿个被盗凭证，并将其运营起来 ，以保护数百家企业和超过20亿消费者从帐户接管和在线欺诈。随着这些数据逐渐被更广泛的犯罪受众访问，它将在未来几个月和几年内用于越来越多的帐户接 管和后续攻击。 关于SpyCloud数据 真正可行的违规数据，以防止账户接管SpyClod使用HmaItelligece(HUMINT)快速恢复数据，通常在数据泄露发生后的几天内。我们独特的数据清理和密码破解过程可以更快地显示受损的凭据，并具有更高的匹配率。访问这个庞大的漏洞数据库使企业能够快速识别暴露的账户并对其采取行动，防止这些风险进入账户收购。SpyClod保护了超过20亿个员工和消费者帐户，使其免受帐户接管和后续攻击，例如信用卡欺诈，网络钓鱼和勒索软件。.在spycloud.com上了解更多信息。 2020年亮点 检测到泄 漏 854 BREACH源 恢复 465 平均违规包括 5,455,813记录 的违规行为 .GOV电子邮件 1.5B 已恢复的信用 总数 60% 在这些证书中，60%的 密码被重复使用 193,073 包含密码 大流行关键字 1.6M 密码包含数字2020 已恢复的 PII资产总额 在2020年 4.6B 在这些收回的PII资产中，我们发现： 1.2B 电话号码 70M 帐户秘密答案 1M银行账户号码 1M信用卡号码 跨SPYCLOUD整个数据库 100+B23+ 其中，我们发现了一个 57% 总回收突破资产 总恢复凭证 57% 密码重用率 凭证暴露趋势 零售欺诈削减了利润率 从订购家庭必需品到从在线精品店挥霍零售疗法，这场大流行将电子商务加速到三位数的百分比增长。网络犯罪分子不仅猛烈抨击消费主义的这一巨变，还利用与COVID-19相关的恶意软件分发骗局来掠夺我们的集体漏洞，这些骗局承诺治愈病毒和低成本的PPE。 为了应对COVID的限制，许多实体零售商在很大程度上依赖在线购物(BOPIS)计划，并取得了巨大的成功。仅从2020年2月24日至3月21日，BOPIS的活动就同比增长了62%。但是，对于每一个良好的意图，都有人渴望利用它；近年来，与BOPIS相关的欺诈行为激增了250％。BOPIS的兴起为犯罪分子利用被盗账户获利提供了完美的掩护。 在过去的一年中，SpyCloud从地下犯罪中回收了近15亿个凭证-不良行为者正在积极使用这些数据来接管用户的帐户并进行在线欺诈。同时，密码重用率没有下降；SpyCloud观察到60%密码重复使用率对于去年暴露了多个密码的用户，与去年的比率完全匹配。 远程生活模糊了个人和职业界限 当世界进入封锁模式时，罪犯已经准备好了。我们其他人， 没那么多。几乎一夜之间，人们被迫在网上工作、学习、购物、社交等等。这为IT团队带来了一系列全新的安全挑战，他们中的许多人缺乏安全支持远程员工的经验、协议和技术。对于员工来说，向远程生活的突然转变引入了新的账户来跟踪，并模糊了工作和个人浏览之间的界限。 SpyCloud发现了远程工作对安全性影响的证据 卫生在一个令人惊讶的地方:僵尸网络日志。受凭据窃取恶意软件感染的设备可以捕获用户的每一个在线行为，并将数据发送给攻击者，攻击者经常与其他罪犯共享这些日志。不良行为者可以使用被盗的数据来欺骗受害者的设备，回答帐户安全问题，绕过多因素身份验证，并窃取他们的身份，使这些用户处于难以检测的帐户接管和在线欺诈的高风险中。 去年，我们注意到僵尸网络日志中收集的个人和公司数据之间的重叠有所增加，这表明人们越来越多地使用个人设备进行工作，而使用公司设备进行游戏。对于企业IT团队来说，这是一个坏消息，他们可以监视员工的工作管理设备的安全性，但无法查看个人系统。如果员工使用受感染的设备登录企业资源，攻击者可以轻松访问企业资源，同时逃避检测。 “超级漏洞”给旧数据带来了改头换面 去年11月，有23,600个被黑客入侵的数据库从一个名为Cit0day的“数据泄露索引”中被泄露，这是一个在黑暗网络上泄露数据（名称、电子邮件、用户名、地址和明文密码）的流行服务。就像2019年上市的“收集组合”一样，Cit0day代表了许多旧漏洞的汇编，这些漏洞被打包成一个“超级漏洞”，这很重要，不是因为它暴露了新数据，而是因为它使犯罪分子更容易使用被盗信息进行凭证填充攻击。 Cit0day泄漏包括多达2.26亿用户名和密码，尽管受影响的用户很难找到足够的信息来说明他们是如何被暴露出来的。一些服务可以告诉您，您的凭据在Cit0day漏洞中的某个地方遭到了破坏，但无法告诉您在23,600个数据库中找到了您的凭据，并且通过扩展，您需要更改哪些暴露的密码。在SpyClod，我们将集合与我们自己的数据库进行匹配，以了解原始来源。 的数据，删除重复数据，并使数据对我们的客户更具可操作性。正如预期的那样，大部分数据已经包含在我们的数据库中。出于本报告的目的，我们已将它们视为单个违规。 正如2021年初的COMB联盟已经证明的那样，这种将旧数据重新打包成大规模联盟并将其作为有新闻价值的超级漏洞发布的趋势肯定会继续下去。对于企业来说，Cit0day漏洞和其他类似的漏洞提醒人们，在最初的漏洞之后，被盗的数据仍然存在并对网络犯罪分子有用多年。 凭据填充是新的数据泄露 考虑到2020年的异常情况，企业可能不可避免地会面临更高的安全威胁。Zoom，Nitedo，Activisio，TheNorthFace和其他品牌成为头条新闻，成千上万的消费者帐户落入不良行为者手中，暴露了敏感信息，例如购买历史 ，帐单和送货地址，姓名，生日，电话号码，奖励点余额和电子邮件地址。然而，尽管许多媒体描述了这些攻击，但这些并不是传统的数据泄露。相反 Thunder123 ，它们代表了一种日益增长的趋势，即大规模的凭证填充被归类为主流媒体中的数据泄露。 所有的目光都集中在供应链上 2020年以我们见过的最大规模供应链攻击的启示结束，影响了超过1.7万家企业和政府机构。攻击者使用SolarWids的更新服务器提供了FireEye研究人员称之为SUNBURST的特洛伊木马程序，为攻击者提供了进入美国等主要客户网络的入口点S.美国国土安全部S.财政部和微软。一些人估计，受影响客户的恢复成本将超过1000亿美元。 密码安全性差在攻击中发挥了重要作用。对于初学者来说，SolarWids的更新服务器是使用我们的数据显示的密码格式来保护的：solarwids123太常见了。（SpyClod最近对《财富》1000强员工数据的分析显示，10个最受欢迎的航空航天和国防行业密码中有6个包含公司名称。）此外，来自多个员工的泄露凭据使攻击者能够访问网络资源并扩展其立足点。攻击者还绕过了流行的多因素身份验证软件，这提醒人们，尽管MFA提供了重要的帐户保护层，但并不是万无一失的。 到目前为止，SolarWinds攻击是2020年最大的供应链攻击，但它肯定不是唯一的攻击。展望未来，我们预计犯罪分子将继续以供应链为目标，而受损的凭证肯定会再次发挥作用。 对于企业来说，区分消费者账户是由于内部资源泄露还是通过凭证填充而被访问的，这一点至关重要。违规是由于公司未能保护其资产而导致的，并且通常会对监管产生影响，而消费者帐户接管通常是消费者密码卫生不良的结果。对于消费者和媒体来说，这种区别变得不那么重要了。 qwerty 123123 password1 123456 凭证填充的媒体形象的转变提出了一个问题：企业对用户的密码选择到底承担了多少责任？只有时间才能证明公众观念的变化是否会影响监管机构处理消费者帐户收购的方式。至少，监控消费者登录的弱和被盗凭证可以缓解声誉，帮助企业避免因错误的原因而出现在新闻中。 授予访问 密码 Michael abc123 111111 Thunderlo 用户名 ScottMichael 密码 Thunder123 登录 权限 Thundermf 2020年审查中的凭据暴露 犯罪分子不需要使用复杂的技术来破坏防火墙或其他旨在保护企业的安全措施。他们只需要您的密码。 暴露的凭据总数 SpyCloud在2020年恢复 1.5B 回收的Creds总数 854 违规来源 对企业和消费者来说，账户接管是一个重大问题，而且方向错误。2019年， ATO是金融机构的头号欺诈手段，仅金融账户收购就同比增长72%。2020年 ，随着COVID-19扰乱我们的世界，同比增长惊人-近300%。随着犯罪分子一直可以获得更多的被盗凭证，并且消费者的不良密码习惯没有改变，问题只会变得更糟。 在2020年，SpyCloud的研究人员从854个漏洞来源中恢复了1,486,416, 779个被盗凭证。这些凭证中的每一个都可用于获得对消费者和员工帐户的非法访问。 更糟糕的是，这些凭证仅代表问题的一小部分：SpyCloud的数据库仅包含从数据泄露和僵尸网络日志中恢复的超过230亿密码，每年增加数十亿美元。尽管新凭证对犯罪分子最有价值，对潜在受害者构成最大威胁，但被盗密码仍存在多年。 被盗凭证在违规发生后的18到24个月内对个人和企业最危险 发送通知 ，而它们可能仅限于一小部分犯罪分子，并使用有针对性的创造性方法获利。当SpyCloud研究人员恢复新数据时，我们会快速清理这些数据，添加上下文，破解密码，以便我们确定客户的信息是否为 包含在漏洞中，并将数据交到他们手中，这样暴露的密码就可以在被利用之前重置 。 我们专注于速度 33% 2020年更多的突破 来源 在过去的一年里，SpyCloud从 泄露来源比2019年多33%：854个来源，而2019年为 640个来源。 在每一步，这样企业就可以超过网络犯罪分子，以及自动补救，所以没有繁重的工作来保护用户免受ATO和在线欺诈的影响。 5,455,813 平均破坏尺寸 <500k记录 553 500k到1M记录 1M到10M记录 84 165 2020年按总数计算的回收违约记录密码重复使用 尽管多年来一直在建议使用强密码的重要性，但人们最终不可避免地会在多个网站上