数世咨询全球数据泄露态势(2023年12月)
AI智能总结
数据泄露态势月度报告 (2023年12月) 北京数字世界咨询有限公司&北京零零信安科技有限公司 数据泄露态势月度报告 (2023年12月) 北京数字世界咨询有限公司&北京零零信安科技有限公司 数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础,来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 数世咨询&零零信安 数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目录 第一章数据泄露市场2 1、国家分类2 2、行业分类3 3、泄露数量3 第二章事件抽样分析4 1、美国国防部高级研究计划局数据泄露4 2、爱达荷国家实验室数据泄露6 3、美国政府合同数据泄露7 4、孟加拉国议会数据泄露7 5、北卡罗来纳州亨德森维尔市政府雇员数据泄露8 6、*拼**购物数据泄露8 7、**云和**宝数据泄露9 8、**手两亿订单数据泄露10 9、湖北**工***行数据泄露10 10、**信绑定数据泄露11 目 录 第三章勒索软件和黑客组织13 1、活跃商业黑客组织综述13 2、黑客组织活跃趋势14 3、本月典型事件说明15 (1)中**工程有限公司16 (2)佛罗里达州退伍军人事务部16 (3)大英图书馆17 4、典型黑客组织简介(Rhysida)17 第四章匿名社交社群20 在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。 为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。 本期报告的统计区间2023年11月。 第一章数据泄露市场 2023年11月共监控到全球DWM(DarkWebMarket)情报: ●深网和暗网有效情报2,229,908份; ●泄露数据的买卖情报26,952份。 1、国家分类 其中美国是数据泄露第一大国,共泄露数据4,373份,其他数据泄露较多的国家还包括:中国、法国、西班牙、德国、英国、巴西等。详情如下图所示: 在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。 2、行业分类 11月份行业属性数据占泄露数据总量约8%左右,泄露的行业数据主要包括金融行业、公民服务行业、制造业、教育业、信息和互联网行业等。92%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。 详情如下图所示: 3、泄露数量 一百亿行以上。 11月份泄露的数据中包含一份据称145亿条购物数据,数份超十亿的二要素个人数据泄露,因此除上述购物数据外,全球整体数据泄露量达到两百亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在 第二章事件抽样分析 1、美国国防部高级研究计划局数据泄露 发布时间:2023.11.22泄露数量:未知 售卖/发布人:IntelBroker 事件描述:2023.11.22某暗网数据交易平台有人宣称正在售卖一份大量与DARPA(美国国防部高级研究计划局)相关的军事信息。本月早些时候,该黑客试图在黑客论坛上以500美元的价格出售通用电气“开发和软件管道”的访问权限。在没有出售成功所谓的访问权限后,威胁行为者再次发帖称,他们现在正在出售网络访问权限和据称被盗的数据。“我之前列出了对通用电气的访问,但是,没有认真的买家真正回复我或跟进。我现在在这里单独出售整个东西,包括访问权限(SSH、SVN等),”威胁行为者在黑客论坛上发帖说。“数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。”作为泄露的证据,威胁行为者分享了他们声称被盗的GE数据的屏幕截图,其中包括GEAviations的一个数据库,该数据库似乎包含有关军事项目的信息。截止本篇报告发出时,该黑客成功售出了这个数据。 2、爱达荷国家实验室数据泄露 发布时间:2023.11.20泄露数量:100,000 售卖/发布人:SiegedSec 事件描述:2023.11.20某暗网数据交易平台有人宣称正在售卖一份爱达荷国家实验室(美国核试验研究所inl.gov)数据。目前,INL正致力于下一代核电站、轻水反应堆、控制系统网络安全、先进车辆测试、生物能源、机器人、核废料处理等方面的研究。正如该组织(SiegedSec)之前针对NATO和Atlassian的违规行为一样,他们在黑客论坛和该组织运营的Telegram频道上公开泄露被盗数据,不顾与受害者谈判或索要赎金。在Telegram上,SiegedSec还通过分享INL内部用于文档访问和公告创建的工具的屏幕截图来发布所谓的违规证据。攻击者还展示了在INL系统上创建了自定义公告,以便让综合体中的每个人都知道此次违规行为。 3、美国政府合同数据泄露 发布时间:2023.11.6泄露数量:未知 售卖/发布人:num1 事件描述:2023.11.6某暗网数据交易平台有人宣称正在售卖一份nextstage.ai网站数据,该网站是一个与政府为政府承包商构建的客户管理系统。该售卖人声称窃取到的数据包含一个zip文件,其中包含大量http请求保存的文件,每个文件包含多个日志,包括名字、姓氏、电子邮件等。 4、孟加拉国议会数据泄露 发布时间:2023.11.28泄露数量:未知 售卖/发布人:ZinPin 事件描述:2023.11.28某暗网数据交易平台有人宣称正在售卖一份孟加拉国议会网站访问权限和数据。该作者上传了两张关于权限的截图,标价1000美元并留下了自己的telegram联系方式。 5、北卡罗来纳州亨德森维尔市政府雇员数据泄露 发布时间:2023.11.22泄露数量:未知 售卖/发布人:SiegedSec 事件描述:2023.11.22某暗网数据交易平台有人宣称正在售卖一份北卡罗来纳州亨德森维尔市的数百份政府雇员数据,这些记录包含更多的全名、地址、电子邮件地址、电话号码、社会安全号码等。 6、*拼**购物数据泄露 发布时间:2023.11.2 泄露数量:1,454,672,835 售卖/发布人:PQ1124 事件描述:2023.11.2某暗网数据交易平台有人宣称正在售卖一份电商平台拼**145亿条购物数据,数据字段:姓名、电话、地址、订单ID、商品名称、 价格、下单时间,总大小为892GB,标价为55000美元。根据经验以及研究发现,该玩家为刚注册的新账号且支付方式单一:只支持USDT支付和站内联系他,并且该用户上线了之后并没有很积极的回复论坛下的问题,登录也是几天登录一次,这些行为并不符合一个想出售数据的暗网玩家。由零零信安安全分析师根据样本、价格、售卖习惯、黑客信誉、暗网玩家特性等综合分析,该数据售卖行为判断为诈骗的可能性极高。 7、**云和**宝数据泄露 发布时间:2023.11.19泄露数量:未知 售卖/发布人:wannasee 事件描述:2023.11.19某暗网数据交易平台有人宣称正在售卖一份**云和*宝数据,数据字段有:名称,电话,住址,订单时间,订单编号等,总大小为2.21TB,售卖价格为15000美元,卖家还附上了一个10GB样例的链接并留下了XMPP和tg联系方式。 8、**手两亿订单数据泄露 发布时间:2023.11.24泄露数量:200000000 售卖/发布人:d*********Z 事件描述:2023.11.24某暗网数据交易平台有人宣称正在售卖一份**手2亿订单数据,卖家附上了一张样例,数据字段有:姓名,电话,地址,购买 商品名称等,售卖价格为180美元。 9、湖北**工***行数据泄露 发布时间:2023.11.10泄露数量:500000 售卖/发布人:bugX 事件描述:2023.11.10某暗网数据交易平台有人宣称正在售卖一份湖北省武汉工**银行客户数据,总数量为50万条,数据字段有:姓名,电话,身份证号,银行卡号,价格为50000美元并附上了中间交易人联系方式和数据样例。两天后该卖家又在论坛下方评论道“价格错误,5000美元是正确的价格”,目前数据的真假性未知,但综合判断,该数据售卖行为判断为诈骗的可能性极高。 10、**信绑定数据泄露 发布时间:2023.11.8泄露数量:49000000 售卖/发布人:1894761 事件描述:2023.11.8某暗网数据交易平台有人宣称正在售卖一份**信绑定数据,总数量为4900万条,价格为188美元,卖家附上的样例中数据字段有:姓名,手机号,身份证号等。 第三章勒索软件和黑客组织 1、活跃商业黑客组织综述 2023年11月全球活跃的商业黑客组织(有勒索发布行为)共32个,公 开的勒索事件共447件,TOP10的黑客组织如下所示: TOP10的商业黑客组织公开发布的勒索事件占全部事件的75%,如下所示: 2、黑客组织活跃趋势 下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比少量增加),但整体活跃度趋势正在逐步增加,统计末端(2023年11月)已达到一年前统计前端(2022年12月)的44.66%: 随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃黑客组织数量较上月有所降低但仍保持高活跃度状态。如下图所示: 3、本月典型事件说明 由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明: (1)中**工程有限公司 商业黑客组织rhysida于2023.11.24公布了中**工程有限公司被勒索的信息,并给了其7天时间支付赎金: (2)佛罗里达州退伍军人事务部 商业黑客组织snatch于2023.11.30公布了佛罗里达州退伍军人事务部被勒索的信息,并给了其7天时间支付赎金: (3)大英图书馆 商业黑客组织rhysida于2023.11.20公布了大英图书馆被勒索的信息,并给了其7天时间支付赎金: ■对该类事件,本文分析员的观点和立场如下: ⑴坚决支持对勒索软件和黑客组织说“NO!” ⑵企业CISO仍应加强自身安全建设,防止该类事件带来的损失; ⑶我们将与某些公益组织合作,为受到勒索和黑客组织攻击的单位提供免费技术支持,该计划预计在近期内上线。 4、典型黑客组织简介(Rhysida) 由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进
