数据泄露态势月度报告 (2024年7月) 北京数字世界咨询有限公司&北京零零信安科技有限公司 数据泄露态势月度报告 (2024年7月) 北京数字世界咨询有限公司&北京零零信安科技有限公司 数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础,来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 数世咨询&零零信安 数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目录 第一章数据泄露市场2 1、国家分类2 2、行业分类3 3、泄露数量3 第二章事件抽样分析4 1、北约数据泄露4 2、泰国情报局数据泄露6 3、泰国内部安全行动指挥部数据泄露6 4、印度尼西亚通信和信息技术部数据泄露2亿条7 5、印度外交护照持有者数据泄露8 6、【假】西安电子科技大学数据泄露9 7、台湾经济部*********处数据泄露10 8、中国公民贷款数据泄露11 9、****信息中心数据泄露12 10、香港居民个人信息数据泄露12 目 录 第三章勒索软件和黑客组织14 1、活跃商业黑客组织综述15 2、黑客组织活跃度趋势14 3、本月典型事件说明16 (1)普亚勒普部落16 (2)美国商业改进局17 (3)舒特金属公司17 4、本月涉及中国企业的勒索事件说明18 5、典型黑客组织简介(Abyss-Data)19 第四章匿名社交社群21 在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。 为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。 本期报告的统计区间2024年6月。 第一章数据泄露市场 2024年6月共监控到全球DWM(DarkWebMarket)情报: ●深网和暗网有效情报189,525份; ●泄露数据的高价值买卖情报3,069份。 1、国家分类 其中美国是数据泄露第一大国,共泄露数据723份,其他数据泄露较多的国家还包括:印度、中国、俄罗斯、巴西、英国、加拿大、德国等。详情如下图所示: 在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事 件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。 2、行业分类 6月份行业属性数据占泄露数据总量约72%左右,泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、文体娱乐业、批发零售业等。28%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。 详情如下图所示: 3、泄露数量 6月份泄露的数据中包含数份(数百万近千万的购物信息)数据泄露,因此除上述数据外,全球整体数据泄露量达到数十亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数亿行以上。 第二章事件抽样分析 1、北约数据泄露 发布时间:2024.6.14泄露数量: 售卖/发布人:natohub 事件描述:2024.6.14某暗网数据交易平台有人宣称正在售卖一份北约数据库和北约机密文件数据。卖家称此份数据包括来自北约的49k成员/合作伙伴,机密文件和技术报告。文件的一些安全分类级别:NR(受北约限制)、NC(北约机密文件)、NS(北约秘书处)等。此份数据的价格卖家并未提及,卖家留下了自己的telegram联系方式以供买家联系。 2、泰国情报局数据泄露 发布时间:2024.6.29泄露数量: 售卖/发布人:Leukemia 事件描述:2024.6.29某暗网数据交易平台有人宣称正在售卖一份泰国情报局数据。卖家称此份数据是攻击泰国皇家陆军情报局的信息监控系统得来的,泰国皇家陆军情报局利用这个系统来监视和监控政党、政治运动、非政府组织和大学生。卖家称该数据包含2019年至2024年5月的2,939份机密文件和PDF文件。 3、泰国内部安全行动指挥部数据泄露 发布时间:2024.6.29泄露数量: 售卖/发布人:Leukemia 事件描述:2024.6.29某暗网数据交易平台有人宣称正在售卖一份泰国内部安全行动指挥部数据。该黑客称此份数据是攻击泰国皇家武装部队的政治部门国内安全行动指挥部(ISOC)得来的,此份数据总大小为178GB,其中包含许多机密文件、项目文件和各种格式的视频文件。 4、印度尼西亚通信和信息技术部数据泄露2亿条 发布时间:2024.6.30泄露数量:200,000,000 售卖/发布人:Guzmanloeraxxx 事件描述:2024.6.30某暗网数据交易平台有人宣称正在售卖一份印度尼西亚通信和信息技术部数据。卖家称此份数据来自PUSATDATANASIONAL(PDN)印尼国家数据中心,此份数据共计200,000,000条,泄露的字段有:国民身份证号码(NIK)、家庭卡号码(NOKaruKeluarga)、全名(NamaLengkap)和完整地 址(AlamatLengkap)。此份数据的价格卖家并未提及,更多样例与价格需要与卖家进行联系获取。 5、印度外交护照持有者数据泄露 发布时间:2024.6.23泄露数量: 售卖/发布人:xenZen 事件描述:2024.6.23某暗网数据交易平台有人宣称正在售卖一份印度外交护照持有者数据。卖家称此份数据获取时间为2024年4月,文件总大小为25GB,解压后为45GB。此份数据包含的字段有:全名母亲、父亲姓名、居住地址历史、当前地址、联系电话、电子邮件、现任政府职位、护照号码。此份数据被卖家标价为20,000美元,一天后2024年6月24日,卖家称此份数据成功被售出。 6、【假】西安电子科技大学数据泄露 发布时间:2024.6.26泄露数量: 售卖/发布人:DeathNoteHackers 事件描述:2024.6.26某暗网数据交易平台有人宣称正在售卖一份西安电子科技大学数据。发布者宣称“为了继续抗议中国对菲律宾的……我们现在正在泄露西安电子科技大学的数据,数据总量为625GB,包含:研究数据、数据集、zip文件、配置文件、Matlab文件、图像、数据库zip文件。”对此,我司在进行数据研判时,发现该数据被发布在百度网盘中,发布时间为2020- 10-13,并且为实名发布。对该文件集进行检索,发现早在2021年1月4日,互联网上既有关于该文件的咨询。至此判断,该数据泄露发布为【假】。 该发布者在本黑客论坛的权限为普通注册用户(非VIP用户、高级用户等),注册论坛时间为是中菲仁爱礁事件的三天后2024年6月20日,发布的内容都 具有明显的诋毁我国、亲菲律宾政治倾向,截止2024年7月15日,该发布者 共计上传了5篇与中国组织相关的数据且每篇帖子都在歪曲事实抗议仁爱礁事件。结合0.zone分析员分析过的数据以及论坛对该发布者的评价,可以判断 该发布者只是在弄虚作假,上传了一些毫无价值的文件以此博取眼球、哗众取宠。 7、台湾经济部*********处数据泄露 发布时间:2024.6.17泄露数量:720,000 售卖/发布人:a*******2 事件描述:2024.6.17某暗网数据交易平台有人宣称正在售卖一份台湾经济部*********处数据。卖家称此份数据共包含72万条,数据字段有:身份證,姓名,性別,出生年月,方案,電話,電子郵箱,家庭住址。此份数据的价格为359美元。 8、中国公民贷款数据泄露 发布时间:2024.6.18泄露数量:5,711,504售卖/发布人:mrwan 事件描述:2024.6.18某暗网数据交易平台有人宣称正在售卖一份中国公民贷款数据。卖家称此份数据的字段有:手机号码、全名、ID号、贷款平台、贷款类型、贷款金额、位置。其中包括唯一手机号码:2,248,768条,具有完整名称的行:5,711,504条,有ID的行:35,04,911条。卖家称此份数据共有6个txt,总大小为144MB,该份数据的价格卖家并未提及。 9、****信息中心数据泄露 发布时间:2024.6.17泄露数量:45,000 售卖/发布人:0xy0um0m 事件描述:2024.6.17某暗网数据交易平台有人宣称正在售卖一份****信息中心数据。卖家称此份数据共有超过45,000条,数据字段有:成员类型、用户名、邮箱、成员类型、用户名、邮箱、密码等。此份数据的价格卖家并未提及。 10、香港居民个人信息数据泄露 发布时间:2024.6.17泄露数量: 售卖/发布人:BlackKing 事件描述:2024.6.17某暗网数据交易平台有人宣称正在售卖一份香港居民个人信息数据。卖家称此份数据是由香港民政部门泄露出来的,泄露的数据 字段有:身份证号码nid,中文姓名,英文姓名,电话,地址。卖家只给出了部分样例,但此份数据的总条数以及价格并未被提及。同时卖家称:数据刚刚泄露,及时性非常好,可批量购买或整包购买,并留下了自己的联系方式。 第三章勒索软件和黑客组织 1、活跃商业黑客组织综述 2024年6月全球活跃的商业黑客组织(有勒索发布行为)共34个,公开 的勒索事件共435件,TOP10的黑客组织如下所示: TOP10的商业黑客组织公开发布的勒索事件占全部事件的73%,如下所示: 2、黑客组织活跃度趋势 下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所减少),整体活跃度趋势正在逐步趋于稳定,统计末端(2024年6月)达到一年前统计前端(2023年7月)的129.1%: 随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示: 3、本月典型事件说明 由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明: (1)普亚勒普部落 商业黑客组织IncRansom在2024.6.29公布了美国普亚勒普部落被勒索的信息。黑客组织IncRansom正在与该部门进行谈判,截止本篇报告发出之时,IncRansom还并未释放该部门数据。 (2)美国商业改进局 商业黑客组织Bianlian在2024.6.27公布了美国商业改进局被勒索的信息。黑客组织Bianlian正在与该部门进行谈判,截止本篇报告发出之时,Bianlian还并未释放该部门数据。 (3)迪拜市政府 商业黑客组织Daixin在2024.6.5公布了迪拜市政府被勒索的信息。该组织并未按照黑客组织的要求交