威胁猎人《2024年上半年数据泄露风险态势报告》

1 目录Contents 前言2 一、2024年上半年数据泄露风险概况6 1.12024年上半年数据泄露事件共计16011起，较2023年下半年增长59.58%6 1.2监测到非法数据交易黑产团伙1973个，较2023年下半年增长近一倍8 1.3Telegram及暗网依旧活跃，在数据泄露渠道中占比高达95%9 1.4银行、电商、消费金融成为数据泄露事件数量Top3行业12 1.52024年上半年泄露数据量达千万级事件共9起14 二、2024年上半年数据泄露字段及人群画像分析16 2.12024年上半年数据泄露字段分析：基础字段占比65.7%16 2.22024年上半年数据泄露人群画像分析21 三、2024年上半年黑产数据交易市场相关研究27 3.12024年上半年出现多起利用Facetime诈骗活动，IOS字段相关风险事件1237起.273.22024年上半年数据泄露事件中，包含历史数据的事件占30%28 3.32024年上半年“查档”信息事件共657起，事件数呈现快速上升趋势30 3.4利用“共享屏幕”诈骗的事件高发，2024年上半年监测共享屏幕远程软件达25种.31 四、结语34 前言 在快速崛起的数字经济时代，数据作为企业的核心资产及重要战略资源，在高速增长的同时，其背后的数据风险也在不断攀升，日渐复杂的数据泄露形势，已成为企业数字化发展赛道的严重阻碍。 威胁猎人《2024年上半年数据泄露风险态势报告》对2024年上半年数据资产泄露风险概况、黑产数据交易市场等进行具体分析，结合典型行业案例，多维度呈现2024年上半年国内数据泄露的态势全景： 1、2024年上半年全网监测并分析验证有效的数据泄露事件16011起，较2023年下半年 增长59.58%，共9539起； 2、2024年上半年监测到3.4万个黑产团伙中，经分析验证涉及真实数据泄露事件的黑产团伙共计1973个，较2023年下半年增新增984个，增长近一倍。 3、从行业分布来看，2024年上半年数据泄露事件涉及85个行业，数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递； 4、从区域、年龄、性别等维度来看，2024年上半年数据泄露人群最多的区域分别是：浙江、四川、广东；35-54岁占比最高达62%；女性占比最高达64%。 5、针对黑产数据交易市场研究发现，2024年上半年利用Facetime诈骗活动增多，2024年上半年泄露的数据中包含“IOS”字段的相关风险事件高达1237起，较2023年下半年 增加8倍。 相关名词定义： 1、DRRC：威胁猎人成立深圳、重庆两大DRRC数字风险应急响应中心，汇集30+安全运营专家，为企业提供7×24小时应急响应服务； 2、真实性验证引擎：通过不同文件类型的个人要素提取和比对，以及对图片OCR结果中的要素进行提取及验证，有效识别该图片内容中是否含有伪造数据/历史泄露数据； 3、数据泄露情报：威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”的情报信息，可能包含历史数据、重复数据等，往往量级巨大； 4、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证，排除历史虚假数据、确认有效的数据泄露事件； 5、公民个人信息：指公民个人身份信息，包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等； 6、历史个人信息：指此次数据泄露事件之前就已经泄露过的个人信息，很多历史个人信息被黑产收集整合成社工库； 7、暗网：指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权才能登录； 8、私域群：需通过邀请链接/管理员同意后才能进入的群组，一般外部人员无法监测或进入该群聊。 9、历史数据事件：黑产将泄露过的真实信息进行整合并再次用于交易的事件，通常黑产会对数据进行精细化处理，补充数据字段完整性，从而提升数据价值及盈利空间； 10、虚假数据事件：黑产将伪造的虚假数据数据用于交易的事件。 5 01 2024年上半年 数据泄露风险概况 一、2024年上半年数据泄露风险概况 1.12024年上半年数据泄露事件共计16011起，较2023年下半年增长59.58% 据威胁猎人数据泄露风险监测平台数据显示，2024年上半年（1-6月）全网监测到的1.1亿条情报中，基于真实性验证引擎及DRRC人工分析验证有效的数据泄露事件共计16011起，较2023年下半年增长59.58%，9539起。 威胁猎人发现，在2024年2月数据泄露事件量出现大幅下降，较2024年1月下降36% （898起），进一步分析了解到，主要有以下两个方面所致： （1）从数据泄露源头来看，第三方泄露、短信通道泄露等不同原因所引发的数据泄露事件量均在2024年2月出现下降的情况，可以看出主要是受到春节期间黑产放假带来的交易行为放缓的影响。 2024年上半年数据泄露的主要原因包括： 短信通道泄露：随着历年来短信收发业务的发展，短信通道商开始通过压低价格的方式来获取更高的订单，比如会以低于市场标准价格与短信下发方（甲方）达成交易，而其收益空间降低很多，因此内部会通过非法售卖短信信息数据的方式获取更多收益。 运营商通道：黑产通过运营商内鬼或违规代理等渠道，获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息； 内鬼泄露：企业内部员工在利益的驱使下，采用资料导出、人工拍摄等方式，获取客户敏感信息后进行售卖； 黑客攻击：外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产，利用企业网络漏洞大规模窃取数据; 第三方泄露：和企业存在合作关系的第三方，具有访问企业某些敏感数据的权限，但由于管理不规范等问题，导致这些敏感数据通过第三方泄露到黑产手中; （2）从贩卖数据（中间商）的黑产团伙数量来看，2024年2月非法数据交易黑产团伙数量出现下降。 1.2监测到非法数据交易黑产团伙1973个，较2023年下半年增长近一倍 威胁猎人针对非法数据交易团伙进行深入分析，2024年1月至6月监测到3.4万个黑产团 伙中，经分析验证涉及真实数据泄露事件的黑产团伙共计1973个，较2023年下半年增新 增984个，增长近一倍。 针对非法数据交易黑产团伙Top10研究发现，2024年上半年各团伙关联的数据泄露风险事件总量均高于2023年下半年，可见非法数据交易团伙的整体活跃度不断上升、非法交易行为更加高频，同时新的大型黑产团伙的不断加入（如小富豪**、阿包**等），使得黑产通过Telegaram进行非法数据交易的形势更加严峻。 1.3Telegram及暗网依旧活跃，在数据泄露渠道中占比高达95% 2024年上半年威胁猎人监测到的数据泄露事件中，发生在Telegram及暗网的达95%以上，其中87%集中在Telegram。 1.3.1Telegram“私域群”捕获超1400起风险事件，较2023年下半年增长近2倍 自2023年起，大多数黑产团伙开始转向私域群进行交易，数据交易团伙也对自身的账号信息进行匿名隐藏。Telegram渠道监测到风险事件最多的频道/群聊为私域群，2024年上半年，威胁猎人在私域群累计发现超过1400起风险事件，较2023年下半年增长近2倍。 私域群：需通过邀请链接/管理员同意后才能进入的群组，一般外部人员无法监测或进入该群聊，群组有管理员定期清洗群成员名单，一定程度上过滤了广告、机器人、二道贩子、中介等可信度较低的人员，群组内容质量更接近真实数据泄露源头。 2024年上半年Telegram“私域群”数量快速增长，黑产团伙在“私域群”中通过加密消息、暗号和私密聊天等方式与买家进行交流联络，使黑产非法交易更加难以被监管机构察觉。 1.3.22024年上半年暗网平台数量较2023年下半年新增46个 暗网平台作为黑产非法数据交易的主流渠道之一，其平台数量的快速增长也侧面反映出暗网的活跃性持续提升，为黑产非法数据交易提供了更多新的隐蔽渠道。 2024年上半年，威胁猎人在暗网渠道发现数据泄露事件累计1229起，共涉及73个网站 （如spyhackerz、crakingx等），较2023年下半年新增46个网站。 威胁猎人基于数据泄露事件量最高的Top10暗网网站，共发现994起数据泄露事件，占捕获暗网数据泄露事件总量的80%以上，主要集中在长安不夜城、breachforums以及cracked这几大网站。 1.4银行、电商、消费金融成为数据泄露事件数量Top3行业，银行事件数量2961起位列第一 从行业分布来看，2024年上半年数据泄露事件涉及85个行业，1524家企业，数据泄露事件数量Top5行业分别为银行、电商、消费金融、保险、快递。其中，银行行业数据泄露事件数量高达2961起，成为数据泄露事件数最多的行业。 2024年上半年TOP10行业排名变化情况如下： 排名靠前的数据泄露行业中以金融、电商行业为主，金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖，通常被下游黑产团伙用于精准营销及诈骗，因涉及大量高价值用户数据，且靠近交易环节，成为了个人信息泄露的重灾区。 近年来线上购物发展更加火热，据2024年3月发布的《中国互联网络发展状况统计报告》 显示，截至2023年12月，我国网络购物用户规模达9.15亿人，占网民整体的83.8%。线上购物的持续稳定增长下，电商平台产生了海量购物订单及物流信息，这些购物订单及物流信息由于暴露面较大，成为了黑产团伙的重点目标，同样被用于营销或诈骗。 同时，在公安部近期公布的“十大高发电信网络诈骗类型”中，刷单返利、虚假网络投资理财、虚假购物服务、冒充电商物流客服、虚假征信等10种常见的电信网络诈骗类型发案占比近88.4%。 其中刷单返利类诈骗是发案量最大和造成损失最多的诈骗类型，虚假网络投资理财类诈骗的个案损失金额最大，虚假购物服务类诈骗发案量明显上升，已位居第三位，而金融、电商类用户群体正是此类诈骗案件的受害群体。 1.52024年上半年泄露数据量达千万级事件共9起，以公民三要素信息及网购数据为主 威胁猎人在2024年上半年监测到泄露数据量达千万级的事件共9起，其中最高泄露数据量 达12亿，经过威胁猎人多次深入分析验证发现，该事件泄露数据主要由发布者整合拼接而成（基于此前发生的多起国内大型数据泄露事件），并非近期泄露数据。 泄露的数据信息中主要以公民个人信息三要素（姓名、手机号、身份证）为主，其次是网购电商数据，最后是金融数据（银行、借贷信息）。从泄露渠道来看，主要集中在breachforums、长安不夜城、cc2crd等知名暗网，以及Telegram匿名群聊。 15 02 2024年上半年数据泄露 字段及人群画像分析 二、2024年上半年数据泄露字段及人群画像分析 2.12024年上半年数据泄露字段分析：基础字段占比65.7% 威胁猎人针对泄露字段调研统计发现，数据泄露字段主要包含基础字段、业务字段、黑产定义字段等类型，基础字段占比最高，达65.7%，基础字段中姓名、手机号、身份证号占比最高。 泄露数据价值与其所包含的具体字段密切相关，下游黑产可通过“全格式”数据字段构建完整的公民画像，进行定向性作恶，使整体作恶成功率及收益更高。 “全格式”数据是黑产描述数据所包含字段格式的专业通用型词汇，通常指包含身份证、姓名、手机号等基础字段信息，加上不同行业相关的业务字段信息，以保险行业为例，保险行业全格式信息通常包括身份证、姓名、手机号、投保金额、保险类型等。 基础字段：主要指个人基础信息，包括姓名、手机号、身份证号、银行卡号、地理位置、详细地址等； 业务字段：主要指业务相关信息，包括平台名称、保险类型、品牌、快递单号、航空公司、航班号等； 黑产定义字段：主要指黑产团伙数据清洗后定义的字段，如：验证ID、设备信息（IOS/安卓）、所属运营商等（验证ID主要是黑产对数据进行标记，防止被二次