1 目录 一、保险行业数据泄露黑色产业链介绍7 二、2024上半年保险行业数据泄露风险概况11 2.12024上半年保险行业数据泄露事件共有2039起,涉及80家保险机构11 2.2国内大型保险机构是黑产团伙的主要攻击对象,数据泄露事件占比超50%11 2.3TG和暗网渠道是非法数据交易的主要交易渠道,占比超过98%13 2.4保险行业被泄露的数据类型主要是用户信息,占比超95%14 2.5保险行业被泄露数据主要来源于第三方泄露,其次是短信通道泄露15 2.6单个事件泄露的数据量以小规模居多,5000条以下占比将近60%16 2.7保险行业被黑产交易的数据中历史数据、虚假数据占比远超全网水平17 三、保险行业数据泄露字段及人群画像分析20 3.1近98%的数据包含个人基础信息,20%的数据包含黑产自定义标签20 3.2保险业务字段出现频率最高的是“保险类型”和“平台名称”21 3.3“保险类型”中“人身保险”占比最高,以“人寿保险”和“年金保险”居多22 3.4诈骗团伙通过“IOS”字段标签对保险平台用户进行精准诈骗22 3.5保险行业数据泄露用户群体主要集中在浙江、四川等地,以中年女性为主24 四、保险行业典型数据泄露事件分析27 4.1因第三方安全管控不足,导致大量保险行业敏感数据泄露27 4.2某保险机构API机构被黑客攻击,20万用户保单信息泄露28 4.3疑似保险机构“内鬼”非法获取用户数据获利29 4.4疑似短信通道存在安全隐患导致保险机构数据泄露29 前言 在快速崛起的数字经济时代,数据作为企业的核心资产及重要战略资源,在高速增长的同时,其背后的数据风险也在不断攀升,日渐复杂的数据泄露形势,已成为各行各业数字化发展赛道的严重阻碍。 保险行业作为金融行业三大支柱产业之一,涉及大量高净值人群,数据转化效率高,变现能力强,是黑灰产重点攻击的对象。威胁猎人近期发布的《2024年上半年数据泄露风险态势报告》数据显示,保险行业2024年上半年发生数据泄露事件2039起,行业排名第四。 一旦发生数据泄露,或数据泄露后不及时管控,导致数据被黑灰产进行大范围交易、作恶,严重损害平台客户的利益,保险等金融机构不仅会遭到客户投诉,同时也会面临监管部门的惩罚,损害其经济和品牌声誉。 威胁猎人长期致力于黑灰产业链及数据泄露风险的深入挖掘和研究,报告将与同业者一起探讨保险行业数据资产泄露的主要特点和发展 相关名词定义: 1、DRRC:威胁猎人在深圳、重庆成立DRRC数字风险应急响应中心,汇集30+安全运营专家,为企业提供7×24小时应急响应服务; 2、真实性验证引擎:通过不同文件类型的个人要素提取和比对,以及对图片OCR结果中的要素进行提取及验证,有效识别该图片内容中是否含有伪造数据/历史泄露数据; 3、数据泄露情报:威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”的情报信息,可能包含历史数据、重复数据等,往往量级巨大; 4、数据泄露事件:威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证,排除历史虚假信息、确认有效的数据泄露事件; 5、暗网:指隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权才能登录; 6、公民个人信息:指公民个人身份信息,包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等; 7、历史个人信息:指此次数据泄露事件之前就已经泄露过的个人信息,很多历史个人信息被黑产收集整合成社工库; 8、历史数据事件:黑产将泄露过的真实信息进行整合并再次用于交易的事件,通常黑产会对数据进行精细化处理,补充数据字段完整性,从而提升数据价值及盈利空间; 9、虚假数据事件:黑产将伪造的虚假数据数据用于交易的事件; 10、第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中; 11、短信通道泄露:随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益。 12、运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息; 13、内鬼泄露:企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖; 14、黑客攻击:外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据; 15、基础字段:主要指个人基础信息,包括个人信息(姓名、手机号、身份证号、出生日期、性别、年龄、邮箱、具体居住地、学历等)、财产信息(收入情况、车牌号、汽车品牌、号码种类、车价等)、家庭信息(婚姻情况、家庭关系等)、工作信息(企业单位、职业等); 16、业务字段:主要指保险业务相关信息,包括投保类型(险种)、投保日期、保障期限、投保金额、保单号、保单形式、保单目的、投保责任、缴费形式、平台名称、订单编号、订单支付状态、订单支付金额、订单来源等; 17、黑产自定义字段:黑产为了提高黑产数据交易价值及效率,会对数据进行清洗后定义,如:验证ID、设备信息(IOS/安卓)、所属运营商等(验证ID主要是黑产对数据进行标记,防止被二次贩卖)。进行标记,防止被二次贩卖)。 二次贩卖)。 6 01 保险行业 数据泄露黑色产业链介绍 一、保险行业数据泄露黑色产业链介绍 威胁猎人针对保险行业数据泄露产业链进行深入研究,发现围绕数据资产泄漏和倒卖的产业链目前已经相当成熟,基于明确的分工和定位分为上、中、下游。 上游:数据窃取团伙 包括公司内鬼、黑客、运营商、运营商第三方代理、短信通道服务商等。这些人专门负责从保险机构的内部和外部寻找获取数据的渠道并窃取数据。在数据越来越值钱的当下,巨大的利益和极低的犯罪成本驱动着上游的数据窃取者甘愿铤而走险。 注:下文将会对保险行业已被攻击平台、数据泄露渠道等进行分析,详情见第二章。 中游:数据中间商 大部分活跃在暗网、Telegram、黑产论坛、Potato等平台,这些人在不同的平台上发布帖 子销售数据,并负责对数据进行分类和清洗,以满足下游客户的各种需求。 注:下文将会对保险行业已泄露数据的地下交易渠道、数据字段等进行分析,详情见第二章。 下游:数据购买者 包括电话营销公司、诈骗团伙等,购买数据的人通常会用于精准营销和诈骗。数据在使用后可能会被二次出售或与其他非法团体交换。近年来,对精细化数据的需求日益增长,例如针对保险客户、理赔用户、高净值人群的数据。这些数据被用于更精准的营销和诈骗活动,其成功率远高于传统方法。比如,利用保险客户数据推销新的保险产品,或者利用理赔用户数据进行保险理赔诈骗等。下游的需求变化促使上游和中游的非法人员采用各种技术手段收集用户数据,并根据需求对数据进行分类整理后出售。 威胁猎人梳理了2023年5月至2024年5月发生和保险行业相关的涉诈事件,平均每月都有诈骗事件发生,保险行业相关诈骗事件高频发生。根据过往的保险行业相关的诈骗案例,可见,泄露出的个人信息是保险行业诈骗发生的主要基础要素:电诈团伙可利用泄露的个人信息和保险相关数据,量身定制剧本和话术,来实施虚假理赔、身份盗窃、保险欺诈等活动。 诈骗流程大体如下: 诈骗话术框架如下: 10 02 2024上半年保险行业 数据泄露风险概况 二、2024上半年保险行业数据泄露风险概况 2.12024上半年保险行业数据泄露事件共有2039起,涉及80家保险机构 2024年上半年威胁猎人全网监测到的1.1亿条情报,基于真实性验证引擎及DRRC人工分 析验证有效的数据泄露事件共计16011起,涉及85个行业,其中保险行业排名第四,共 有2039起,平均每月约340起,涉及80家保险机构。 2.2国内大型保险机构是黑产团伙的主要攻击对象,数据泄露事件占比超50% 威胁猎人情报研究员对上半年存在数据泄露最多的15家保险机构进一步分析发现,这15家保险机构涉及的数据泄露事件占据了整个保险行业数据泄露总量的近80%,其中Top5 机构数据泄露事件占比超50%。 对Top5机构及黑产数据交易情况进一步分析,Top5均是国内保险十大品牌的保险机构,机构规模大、平台用户群体多、用户数据量大;从黑产交易团伙来看,非法贩卖保险机构数据的黑产团伙共计有569个,其中贩卖Top5机构数据的黑产团伙数量共有534个,远超售卖其他机构数据的黑产团伙数量。由此可见,Top5保险机构是黑产团伙主要的攻击目标。 2.3TG和暗网渠道是非法数据交易的主要交易渠道,占比超过98% 威胁猎人针对保险行业数据泄露的交易渠道进行分析发现,匿名群聊Telegram和暗网占比98.47%,是黑产进行非法数据交易的主要渠道,与2024年上半年全行业非法数据交易渠道分布基本一致。 2.4保险行业被泄露的数据类型主要是用户信息,占比超95% 威胁猎人针对保险行业泄露的数据信息进行分析发现,泄露的数据中用户信息类占比高达95.64%,为非法数据交易的主要类型。 用户信息:为平台用户个人信息,包含姓名、手机号、身份证号、保险相关信息、健康信息、财产信息等; 员工信息:为企业员工个人信息以及职业信息,包括员工姓名、手机号、身份证、职业岗位等信息; 敏感文件:为企业内部敏感文件文档信息,包括企业内部机密文档、合同文件、产品图纸等信息; 敏感代码:为企业内部敏感代码信息,包括源码信息、API接口密钥、环境配置、域名等信息。 注:为进一步了解被泄露的用户信息详情,威胁猎人针对泄露的数据字段进行了分析,详情见第三章。 2.5保险行业被泄露数据主要来源于第三方泄露,其次是短信通道泄露 威胁猎人针对保险行业数据泄露的源头进行分析,第三方导致的数据泄露是主要原因,占比高达67.28%,其次是短信通道泄露,占比17.39%,外部黑客攻击占比11.23%,内部员工泄露3.99%。 第三方泄露:和企业存在合作关系的第三方,具有访问企业某些敏感数据的权限,但由于管理不规范等问题,导致这些敏感数据通过第三方泄露到黑产手中; 短信通道泄露:随着历年来短信收发业务的发展,短信通道商开始通过压低价格的方式来获取更高的订单,比如会以低于市场标准价格与短信下发方(甲方)达成交易,而其收益空间 降低很多,因此内部会通过非法售卖短信信息数据的方式获取更多收益。 运营商通道:黑产通过运营商内鬼或违规代理等渠道,获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息; 内鬼泄露:企业内部员工在利益的驱使下,采用资料导出、人工拍摄等方式,获取客户敏感信息后进行售卖; 黑客攻击:外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产,利用企业网络漏洞大规模窃取数据。 2.6单个事件泄露的数据量以小规模居多,5000条以下占比将近60% 2024年上半年,威胁猎人捕获到的保险行业黑产数据交易量级以5000条以下小规模居多,占比59.72%。 虽然整体以小规模数据交易为主,也存在不少单次泄露数据量级10万以上的,其中最高可 达70万条数据,进一步分析,该事件为2022年某保险机构出现的重大数据泄露事件。 2.7保险行业被黑产交易的数据中历史数据、虚假数据占比远超全网水平 威胁猎人针对保险行业被黑产交易的数据进行真实性验证分析发现,其虚假数据、历史数据占比远超全网整体水平: 从历史数据的维度上分析,泄露的保险数据中有52.67%为历史泄露的数据,超过全网的历史数据占比30.60%; 从数据的真实性维度上分析,泄露的保险数据中有4.76%为虚假不匹配的信息数据,超过全网虚假数据占比1.54%。 历史数据事件:威胁猎人通过与过往泄露数据的匹配验证,识别出黑产发布数据样本中包含旧数据的事件; 虚假数据事件:威胁猎