2024年数据泄露风险态势报告
AI智能总结
2024年 数据泄露风险态势报告 (2024年1月1日至2024年12月31日) 1 关于威胁猎人 威胁猎人ThreatHunter(深圳永安在线科技有限公司)成立于2017年,以黑灰产情报能力和反欺诈技术为核心,专注于及时、精准、有效的业务欺诈风险的发现和响应。 公司围绕不同行业在数字化发展过程中面临的业务欺诈、数据泄露、钓鱼仿冒、API攻击等风险场景,提供成熟多样的产品与服务,并多次入选Gartner技术成熟度曲线报告、IDC威胁情报领域代表厂商。 公司总部在深圳,在北京、上海、重庆、新加坡等地设有分公司,并在深圳和重庆两地建立数字风险应急响应中心(DRRC),为客户提供7*24小时全天候数字风险应急响应和及时、优质的服务支持。截至目前,公司已为金融、政务、物流、互联网、科技、零售等行业的300多家客户提供安全服务,覆盖85%头部互联网企业,每年帮助客户减少数十亿资金损失。 前言 在数字化时代浪潮中,数据已成为企业核心竞争力的关键要素。然而,数据泄露风险如同达摩克利斯之剑,高悬于各行业头顶。2024年,数据泄露事件频发,波及众多企业,严重威胁用户隐私与企业利益。 威胁猎人《2024年数据泄露风险态势报告》对2024年国内企业数据资产泄露风险概况、非法数据交易产业链等进行多维度分析,客观呈现2024年国内数据泄露风险态势全景。 报告内容关键点总结: 1.2024年数据泄露风险态势依旧严峻,多个行业多家企业均存在数据泄露风险 2024年全年监测到37575起有效数据泄露事件,涉及2598家企业,覆盖金融、电商、快递、汽车、本地生活等多个关键行业。 2.银行业再登数据泄露风险榜首,本地生活首次进入前十 2024年银行业数据泄露事件数量高达6333起,连续两年位居榜首,金融行业数据安全管控迫在眉睫;本地生活行业数据泄露事件从2023年的Top14跃升至Top10,2024年共发现700多起事件,新型泄露类型“强登”是主要推手。 3.匿名群聊与暗网仍是主要泄露渠道,文库及网盘风险事件翻倍 2024年数据泄露渠道仍以匿名群聊与暗网为主,二者总量占比90.83%;文库及网盘渠道风险事 件量翻倍增长,达2714起。 4.“私域群”、“担保”模式快速发展,非法数据交易更隐蔽且“规范化” 2024年“私域群”、“担保”模式快速发展,在私域群中累计发现数据泄露风险事件4193起, 黑产团伙数量突破500个,且超过一半的“私域群”由担保机构运作。 5.特权账号成攻击者利器,ATO风险持续增长 2024年ATO风险持续增长,仅一周超470万员工账号泄露,涉及社交、电商、金融、短视频等 多个行业21万家企业。 6.新型数据泄露“强登”、“解密”兴起,涉及电商、外卖、快递等行业 2024年,“查档”模式迅速发展,并出现“解密”与“强登”两种新型数据泄露方式。“强登” 自6月起现身,先在电商巨头平台出现,后波及外卖、快递等多平台;“解密”则是黑产为破解隐私面单而生,近一年来,相关数据泄露事件呈上升趋势。 7.“IOS”字段相关风险事件下降,“扶贫”相关非法数据交易需求上涨 苹果官方针对Facetime诈骗的打击使得“IOS”字段风险事件下降,下半年较上半年下降59.90%;同时,“扶贫”相关非法数据交易需求上涨。 免责声明:威胁猎人所提供的数据信息系依据大样本数据抽样采集、小样本调研、数据模型预测及其他研究方法估算、分析得出。由于统计分析领域中的任何数据来源和技术方法均存在局限性,威胁猎人也不例外。威胁猎人依据上述方法所估算、分析得出的数据信息仅供参考,威胁猎人不对上述数据信息的精确性、完整性、适用性和非侵权性做任何保证。任何机构或个人援引或基于上述数据信息所采取的任何行动所造成的法律后果均与威胁猎人无关,由此引发的相关争议或法律责任皆由行为人承担。 目录 关于威胁猎人2 前言3 一、2024年国内数据泄露风险概况7 1.12024年监测数据泄露事件37575起,涉及金融、电商、快递等行业2598家企业7 1.2银行业数据泄露风险连续两年排行第一,本地生活首次进入前十8 1.3匿名群聊与暗网仍是数据泄露的主要渠道,文库及网盘渠道事件翻倍增长9 1.4“私域群”、“担保”模式快速发展,非法数据交易更加隐蔽和规范化10 1.5勒索攻击导致的数据泄露事件共4034起,涉及制造业、金融、房地产等行业12 1.6特权账号成攻击者利器,ATO风险持续增长13 二、2024年非法数据交易产业链分析17 2.12024年“查档”类型泄露事件快速上涨,涉及电商、外卖、社交、快递等行业数据18 2.2新型数据泄露类型“强登”出现,涉及电商、外卖、快递等行业头部平台20 2.3物流行业“解密”服务兴起,近一年相关数据泄露事件逐渐增多22 2.4贷款类、网购类、股票类、招聘类等数据下游需求旺盛24 三、2024年非法数据交易市场研究27 3.1“IOS”字段相关风险事件下半年共发现496起,较上半年下降59.90%27 3.2“扶贫”相关数据风险情报数量显著上涨,求购“扶贫料”需求逐月增加29 3.3牛市背后的隐藏风险:2024年投资相关数据泄露风险趋势显著上涨32 四、威胁猎人数据泄露风险情报服务37 五、数据泄露相关名词解释40 01 2024年国内 数据泄露风险概况 6 一、2024年国内数据泄露风险概况 1.12024年监测数据泄露事件37575起,涉及金融、电商、快递等行业2598家企业 威胁猎人数据泄露风险监测平台数据显示,2024年1月至12月全网监测了3.03亿条关于数据泄露的情报,基于威胁猎人真实性验证引擎以及DRRC专业人工分析验证出有效的数据泄露事件共计37575起,涉及金融、电商、快递等行业2598家企业。 威胁猎人发现,在2024年2月数据泄露事件量出现大幅下降(较2024年1月下降了36%,共 898起),在11月出现了较大幅度上升(较2024年10月上涨了29.48%,共计1096起),从数据泄露源头进一步分析了解,主要原因如下: 2024年2月,第三方泄露、短信通道泄露等不同原因所引发的数据泄露事件量均出现下降,可以 看出2024年2月数据泄露事件大幅下降主要是受到春节期间黑产放假带来的交易为放缓的影响。 2024年11月,非法数据交易团伙的活跃度有所增加,团伙数量相较于10月新增了156个非法 数据交易团伙,这一增长导致了11月全网数据泄露事件数量明显上升。 1.2银行业数据泄露风险连续两年排行第一,本地生活首次进入前十 从行业分布来看,2024年1月至12月数据泄露事件中涉及88个行业,前五行业分别是银行、 电商、消费金融、保险以及快递。其中银行行业数据泄露事件数量高达6333起,连续两年为数据泄露事件数最多的行业。 此外,今年本地生活行业数据泄露事件行业排名相比2023年有所上升,从之前的Top14上升至Top10。数据显示,2024年本地生活行业共发现700多起数据泄露事件,较2023年大幅上涨 7.22倍。 进一步分析发现,本地生活数据泄露大幅上涨的原因是新型泄露类型“强登”导致。 强登:指通过技术手段强制登录用户账号,获取用户账号中的隐私信息。 本地生活:主要指提供外卖、餐饮、电影票、买菜等与生活息息相关的服务平台。注:关于“强登”的进一步信息请查看2.2章节。 1.3匿名群聊与暗网仍是数据泄露的主要渠道,文库及网盘渠道事件翻倍增长 威胁猎人统计数据显示,2024年数据泄露的主要渠道仍然是匿名群聊和暗网,占比高达90.83%。值得关注的是,2024年文库及网盘渠道泄露的风险事件量有2714起,占全渠道事件量的7.34%,相比去年有了大幅提升。 值得一提的事,自2024年6月起,威胁猎人数据泄露风险监测平台引入了大语言模型技术,利用大模型的智能筛选与海量数据分析能力,再结合威胁猎人DRRC专业团队的校验和判断,极大提升了来自文库及网盘渠道的风险文件审核效率和风险事件检出能力。 1.4“私域群”、“担保”模式快速发展,非法数据交易更加隐蔽和规范化 随着非法数据交易的规模化和复杂化趋势加剧,愈来愈多的黑产团伙倾向于选择私域环境进行交易,使得交易更加隐蔽化、组织化和规范化。 威胁猎人数据统计,2024年在Telegram“私域群”中,累计发现数据泄露风险事件4193起,较2023年增长了2.70倍,“私域群”中的黑产团伙数量突破500个,是2023年的2.88倍。 私域群:需通过邀请链接/管理员同意后才能进入的群组,一般外部人员无法监测或进入该群聊,群组有管理员定期清洗群成员名单,一定程度上过滤了广告、机器人、二道贩子、中介等可信度较低的人员,群组内容质量更接近真实数据泄露源头。 威胁猎人情报人员针对“私域群”内的数据泄露事件和黑产团伙进一步分析发现: 1)黑产团伙在“私域群”中通过加密消息、暗号和私密聊天等方式与买家进行交流联络,使黑产非法交易更加难以被监管机构察觉。 2)超过一半的“私域群”由担保机构运作。 担保机构:在非法数据交易中扮演“中间人”的角色,负责验证交易双方的资质、监督交易过程并确保交易的顺利完成。这种模式提高了交易双方的信任度、非法数据交易流程更加“规范”,一定程度上保障了非法数据交易的顺利进行。 威胁猎人对担保团伙进一步分析,在当前众多担保团伙中,前三大担保团伙分别是“好旺担保” (原汇旺担保)、“新币担保”和“春江担保”。其中,“好旺担保”在担保团伙中占据主导地位,由其担保的非法数据交易事件量占比高达94.34%,可谓“一家独大”。 值得关注的是,为规避监管打击,“原汇旺担保”在2024年10月19日正式改名为“好旺担保”。 1.5勒索攻击导致的数据泄露事件共4034起,涉及制造业、金融、房地产等行业 2024年,威胁猎人捕获到由勒索攻击导致的数据泄露事件共4034起,涉及全球多个行业,排名前三的行业是制造业、金融、房地产。 1.6特权账号成攻击者利器,ATO风险持续增长 注:鉴于特权账号泄露事件的特殊性,威胁猎人捕获相关情报后,将直接与合作客户沟通处理,故此类事件未纳入本次报告的总数据泄露事件统计。 特权账号(PrivilegedAccount):指具有特殊权限的账号,通常拥有对系统、网络或数据的高级访问权限,如企业员工账号。特权账号存在权限大、分布散、数量多等特点,分布在业务系统、应用程序、数据库、网络设备等各类应用系统中,一旦账号被接管(账号接管AccountTakeover, ATO),可能导致敏感数据资源泄露、业务中断等后果。 对黑产团伙而言,与其穿透层层防护窃取数据,不如直接窃取账号,通过内网横向移动,利用特权账号的管控手段缺失攻破授权账号,最终利用特权账号权限对系统进行恶意破坏。 近年来,因账号权限管控不当或失窃导致的风险事件正在逐年上涨,IBMX-Force最新发布的 《2024年威胁情报指数报告》中表示,攻击者使用被盗凭据访问有效账户的情况比去年增加了71%,占X-Force在2023年应对的所有风险事件的30%,与网络钓鱼并列成为头号感染媒介。 1.6.1仅一周超470万员工账号泄露,涉及社交、电商等行业21万家企业 威胁猎人ATO情报服务持续对企业账号泄露风险进行监测,仅一周时间就监测到被泄露的企业员工账号数量超470万,涉及社交、电商、金融、短视频等行业近21万家企业。 注:统计图数据统计周期为2024年2月至12月。 1.6.2Salesforce、HubSpot、Zoom等第三方办公协同工具是账号泄露的高风险区 威胁猎人情报人员对已泄露的企业账号信息进一步分析发现,泄露的账号有大量外部软件账号,其Salesforce平台(客户关系管理CRM)数量最多,其次是HubSpot平台(客户关系管理CRM)、Zoom(视频会议软件)。 这些平台均存在大量敏感账号数据,包括但不限于用户身份信息、企业机密、客户信息、财务信息以及
