数世咨询2023年数据泄露态势报告
AI智能总结
2023年数据泄露态势报告 北京数字世界咨询有限公司&北京零零信安科技有限公司 2023年数据泄露态势报告 北京数字世界咨询有限公司&北京零零信安科技有限公司 数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础,来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 数世咨询&零零信安 数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目录 1我国数据泄露监管新要求2 2暗网年度数据泄露纵览3 3泄露的数据类别5 4国家数据泄露分析8 5破坏者分析10 6国际典型泄露事件12 6.1北约军事档案数据泄露12 6.2巴勒斯坦外交部数据泄露14 6.3美国教育部数据泄露15 6.4伊拉克情报局数据泄露15 6.5安哥拉国家石油公司数据泄露16 6.6以色列国防部数据泄露17 6.7南非国防部数据泄露17 6.8FBI数据泄露18 6.9宗教极端主义组织ISIS数据泄露19 6.10黎巴嫩卫生部数据泄露19 7暗网市场发展趋势21 7.1暗网向深网发展21 7.2市场会员制21 7.3积分与付费交易规范化22 7.4平台与社群双线拓展24 目 录 8黑客组织和勒索事件25 9勒索事件分析25 9.1勒索事件样例27 9.2典型事件:美国防部承包商Austal泄露数据超10GB29 9.3典型事件:北约泄露数据总量10GB…33 10黑客组织分析36 10.1典型黑客组织:Lockbit337 10.2典型黑客组织:Royal41 10.3典型黑客组织:Play44 10.4典型黑客组织:Rhysida46 10.5典型黑客组织:8base48 11结尾53 零零信安 本报告由数世咨询&共同发布 2023年12月16日 在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。 为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。 1我国数据泄露监管新要求 2023年12月8日,国家网信办起草并发布了《网络安全事件报告管理办法(征求意见稿)》。 征求意见稿规定,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。 《网络安全事件分级指南》规定,满足下列条件之一的,可判别为“特别重大网络安全事件”: •重要数据泄露或被窃取,对国家安全和社会稳定构成特别严重威胁。 •泄露1亿人以上个人信息。 《网络安全事件分级指南》规定,满足下列条件之一的,可判别为“重大网络安全事件”: •重要数据泄露或被窃取,对国家安全和社会稳定构成严重威胁。 •泄露1000万人以上个人信息。 以传统的产品技术手段监控数据泄露极易发生误报、漏报。而数据泄露的“下游”即是在“深网”和“暗网”的数据交易买卖,因此对“全量”深网和暗网的情报采集和分析是当前全球最先进和主流的数据泄露监控措施。 本报告即是基于零零信安0.zone安全开源情报平台,对2023年深网和暗网数据泄露情报进行采集分析,为未来采取有效措施提供有价值的参考。 2暗网年度数据泄露纵览 2023年全球深网、暗网中的各类网站已达万余个以上,包括黑客论坛、交易市场、暗网社区、新闻社群、以及各类型网站等。监控中,数据交易买卖情报共达到113016起。 本年度初始,在深网和暗网中数据买卖活动与去年相近,呈现较平稳态势。随着经典BF网站被取缔,以及6月份新BF上线、各黑客团体和新黑客论坛的积极涌现,全球黑客活动发生了巨大反弹。下半年数据买卖活动呈现明显爆发和上升态势,具体如下图所示(由于本报告写于12月16日,12月份的数据总量为预期数量E): 从上图可获悉,2023年末的数据泄露和交易量,相较年初提升了近100%的数量。 3泄露的数据类别 针对泄露的数据发布和交易记录分析,所有泄露的数据大致分为四种类型,分别是: •非结构化数据:包含大量文档、图纸、表单、文件等数据; •结构化数据库:泄露的某个完整项目数据库; •二要素数据:邮件/密码;账号/密码等,通常是洗库或脱库、破解所得; •日志数据:LOG;URL/LOG/PASS等。 在本年度获取到的11万余份数据泄露交易记录中,非结构化数据和结构化数据库大约占比接近20%,二要素数据和日志数据的占比大约在80%以上。 本年度单次泄露大于10亿条的数据泄露事件多达数百份,其中以二要素和日志数据为主,如下图所示: 4国家数据泄露分析 在全球数据泄露的国家中,按照泄露量排序TOP10依次为:美国、中国、法国、印度、德国、英国、俄罗斯、巴西、意大利、日本,泄露数据比例如下图所示: 其中对我国危害最大的TOP10深网和暗网泄露源如下表所示(以下按照对我国的泄露事件数量排序): 5破坏者分析 从获悉的数据分析,当前全球深网和暗网中参与数据买卖交易的“玩家”总数量或已达到近百万人,活跃的“卖家”破坏者大约在万余人左右。其中最活跃的TOP10破坏者如下所示: 6国际典型泄露事件 6.1北约军事档案数据泄露 涉及国家:北约 发布时间:2023.9.20 售卖/发布人:romanse3 事件描述:2023.9.20某暗网数据交易平台有人宣称贩卖北约军事档案,贩卖者连续发布了3部分内容,包含飞机、导弹、无人机、军舰等文件,部分内容如下截图所示。值得注意的是,该贩卖者之前未在数据交易平台出现过,并且其头像、签名(“伊拉克国家安全处于沉默之中”)均使用了阿拉伯语,数据样本源为阿拉伯网盘。数据真实性和其目的性难以考证。 6.2巴勒斯坦外交部数据泄露 发布时间:2023.10.7泄露数量:40,500 售卖/发布人:cookiesmonster 事件描述:2023.10.7某暗网数据交易平台有人宣称获取到了巴勒斯坦外交部数据库中一些时间并将其发布。据称该数据包含了一些巴勒斯坦外交部的数据库,文件以及邮件往来共计40,000条,除此之外还包含了500条用户数据。此外作者还提到了这些文件中涉及到了巴勒斯坦与中国的项目往来细节。 6.3美国教育部数据泄露 涉及国家:美国 发布时间:2023.8.17泄露数量:27,000,000 售卖/发布人:CyberNiggers 事件描述:2023.8.17某暗网数据交易平台有人宣称获取并出售美国教育部整个数据库,总量为2700万条,并提供了样例数据。样例数据中显示,该数据库包含用户名、手机号、类型、主题、反馈等字段。 6.4伊拉克情报局数据泄露 涉及国家:伊拉克 发布时间:2023.8.28泄露数量:22,356,634售卖/发布人:0BITS 事件描述:2023.8.28某暗网数据交易平台有人宣称获取并出售伊拉克情报局数据,总量为2000余万条(15.7GB),并提供了样例数据。样例数据中显示,该数据库包含姓名、地址、身份证、工作、工资等字段。值得注意的是,该售卖者有明显的政治或个人偏好,其在同一平台上还发布和出售科索沃公民数据、卡塔尔司法部、伊拉克内政部等泄露的数据。 6.5安哥拉国家石油公司数据泄露 涉及国家:安哥拉 发布时间:2023.8.24泄露数量:210GB 事件描述:2023.8.24某勒索软件组织在暗网数据交易平台发布了从安哥拉国家石油公司窃取的210GB数据,并提供免费下载。黑客宣称安哥拉国家石油公司没有按照其要求的72小时内进行回复和缴纳勒索金额,所以将窃取的所有数据免费开放下载,以提供给勒索对象的供应商、承包商、员工和一切需要该数据的人。值得注意的是,我国与安哥拉国家石油公司也有合作与战略签约。 6.6以色列国防部数据泄露 涉及国家:以色列发布时间:2023.9.7 售卖/发布人:CyboDevil 事件描述:2023.9.7某暗网数据交易平台有人宣称获取并发布了以色列国防部数据,该数据包含姓名、项目组、电话号码、住宅电话、手机、电子邮件、出生日期、年龄、地址、性别、父亲姓名、原籍国等信息。 6.7南非国防部数据泄露 涉及国家:南非 发布时间:2023.8.28泄露数量:1.6TB 事件描述:2023.8.28某暗网数据交易平台有人宣称获取并出售南非国防部数据,总量为1.6TB,并提供了样例数据。样例数据中显示,该数据库包含南非各级军官联系方式,包括姓名、电话、邮箱等字段。 6.8FBI数据泄露 发布时间:2023.10.12泄露数量:9,984 售卖/发布人:motify 事件描述:2023.10.12某暗网数据交易平台有人宣称获取到了FBI代号为“atlas”的数据库。作者讲述了自己是如何通过漏洞提升权限并获取到了FBI的雇员数据。在作者所给的样例数据中可以看到有:姓名,邮箱,地址,电话和哈希密码,作者称此次共售卖9984条FBI员工信息,售价为10000美元且只支持比特币和门罗币交易,并且作者称该数据只会售卖一次。在2015年10月份,曾经出现过一次FBI和DHS人员数据泄露,本次事件据称与上次事件无关。 6.9宗教极端主义组织ISIS数据泄露 涉及国家:ISIS 发布时间:2023.9.12泄露数量:22,000 售卖/发布人:Prometheus69 事件描述:2023.9.12某暗网数据交易平台有人宣称宗教极端主义组织ISIS数据泄露,导致22000名组织战士身份泄露,包括姓名、电话号码、家庭住址、血型等信息。 6.10黎巴嫩卫生部数据泄露 发布时间:2023.10.23泄露数量:3,855,991售卖/发布人:r57 事件描述:2023.10.23某暗网数据交易平台有人宣称正在售卖一份黎巴 嫩卫生部数据。该数据包含了死亡病例,吸毒人员数据,受益人数据以及其他各类疾病数据共计3,855,991条54.6GB,这对于总人口只有548万的黎巴嫩 无疑属于很严重的数据泄露,作者标价该份数据为2500美元并展示了一些样例数据。 7暗网市场发展趋势 7.1暗网向深网发展 随着2022年经典Raidforums暗网黑客论坛被取缔、2023年经典Breachforums暗网黑客论坛被取缔等事件的发生,全球本意上在于打击网络攻击行为、取缔黑客交流平台、非法数据泄露和买卖市场。 但实际效果却是黑客攻击行为和非法数据交易不降反增。并且随着各暗网市场和论坛的取缔,黑客们对于暗网的安全性逐渐失去信任,现已有超过半数的暗网网站在明网和深网中建立了镜像,甚至完全脱离暗网入驻深网。 深网的访问门槛远低于暗网,这使得非法数据交易的参与者不降反增。同时借助公开互联网的带宽和防御资源,新兴的非法交易市场和黑客
