在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。
为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。
本期报告的统计区间2023年9月。
数据泄露概况
2023年9月共监控到全球dwm(dark web market)情报:
深网和暗网有效情报2,867,168份;
泄露数据的买卖情报31,383份。
按国别分类其中美国是数据泄露第一大国,共泄露数据12,340份,其他数据泄露较多的国家还包括:法国、中国、德国、英国、俄罗斯、巴西、意大利、印度等。详情如下图所示:
在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、log记录等。
行业分类9月份行业属性数据占泄露数据总量约11%左右,泄露的行业数据主要包括信息和通讯行业、金融行业、艺术和文娱行业、教育行业、批发和零售业、**和军队等。89%左右的泄露数据无明显行业属性,包括二要素数据、无明显泄露源的公民数据、批量的企业工商数据等。详情如下图所示:
泄露数量9月份泄露的数据中包含一份据称1000亿条企业信息数据,数份超十亿的二要素个人数据泄露,因此除上述企业信息数据外,全球整体数据泄露量达到百亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在10亿行以上。
重大事件抽样分析
北约军事档案数据泄露涉及国家:北约。
发布时间:2023.9.20
售卖/发布人:romanse3
事件描述:2023.9.20某暗网数据交易平台有人宣称贩卖北约军事档案,贩卖者连续发布了3部分内容,包含飞机、导弹、无人机、**等文件,部分内容如下截图所示。值得注意的是,该贩卖者之前未在数据交易平台出现过,并且其头像、签名(“伊拉克***处于沉默之中”)均使用了阿拉伯语,数据样本源为阿拉伯网盘。数据真实性和其目的性难以考证。
cia、dod、nato、雷神数据贩卖涉及国家:美国、北约。
发布时间:2023.9.17
售卖/发布人:spectre123
事件描述:2023.9.17某暗网数据交易平台有人宣称贩卖美国cia、dod、雷神公司和nato数据,并释放出样例数据。贩卖者对该数据定价为4万美元,并可以讲价,但不接受分批碎片交易。该数据不排除造假的可能性。
美国fbi数据泄露涉及国家:美国。
发布时间:2023.8.7
泄露数量:5.28gb
售卖/发布人:透明。
事件描述:该事件虽然发生于8月,但当时对事件的真实性存在严重怀疑,目前已确定事件的真实性,因此在本期报告中补充说明。2023.8.7透明团体发布该事件,宣称匿名者附属组织lulzsec/antisec对联邦调查局、执法机构和承包商发起一系列黑客攻击,并获取了5.28gb数据。该事件包含一系列数据,部分内容如下图所示。
宗教极端主义组织isis数据泄露涉及国家:isis
发布时间:2023.9.12
泄露数量:22,000
售卖/发布人:prometheus69
事件描述:2023.9.12某暗网数据交易平台有人宣称宗教极端主义组织isis数据泄露,导致22000名组织战士身份泄露,包括姓名、**号码、家庭住址、血型等信息。
以色列国防部数据泄露涉及国家:以色列。
发布时间:2023.9.7
售卖/发布人:cybodevil
事件描述:2023.9.7某暗网数据交易平台有人宣称获取并发布了以色列国防部数据,该数据包含姓名、项目组、**号码、住宅**、手机、电子邮件、出生日期、年龄、地址、性别、父亲姓名、原籍国等信息。
北约数据泄露发布时间:2023.9.30
泄露数量:3,000
售卖/发布人:siegedsec
事件描述:2023.9.30某暗网数据交易平台有人宣称获取和发布北约数据,据称该数据超过3000个文件,7.8gb压缩包,包含北约标准化办公室、北约投资司、物流网络、高级分布式学习等数据。这是该黑客组织第二次发布北约数据,上一次发布的数据包含844mb数据。
**空调数据泄露发布时间:2023.9.24
泄露数量:13,500,000
售卖/发布人:blastoise
事件描述:2023.9.24某暗网数据交易平台有人宣称***空调维修数据,总量为1350万,并提供了样例数据。样例数据中显示,该数据库包含业主姓名、**号码、维修单位、维修状态等。
布**宫数据泄露发布时间:2023.9.15
泄露数量:1.5gb
售卖/发布人:fbi-warning
事件描述:2023.9.15某暗网数据交易平台有人宣称布**宫数据,总量为1.5gb,包含所有游客的姓名、手机号码、**身份证、机票信息、旅行社信息等,并提供了数十条样例数据。从样例数据来分析,其放出的样例有可能不是全部数据库表头。
电*信息6.3亿数据泄露发布时间:2023.9.3
泄露数量:630,000,000
售卖/发布人:chinamandan、chinadan、landlord、agro等。
事件描述:2023.9.3-9.6,在多个暗网数据交易平台出现多名数据售卖者宣称**6.3亿电*数据。该贩卖信息最早于2023.4.25在exp和xss交易平台被同时发布,当时售价为8万美元,并提供1万数据样本。后于6月和8月分别少量转售,售价5万美元。本次在不少于7个数据交易平台被大规模转售,售价降至1000美元。售卖者宣称数据**于电*,包含姓名、身份证、地址、**卡号等信息。
福*之窗数据泄露发布时间:2023.9.18
泄露数量:350,000
售卖/发布人:zipperrr
事件描述:2023.9.18某暗网数据交易平台有人宣称获取并提供福*之窗35万用户数据,包括用户名、密码、邮箱等。截止本稿撰写之时发现该门户**显示为停运状态。
勒索软件和黑客组织
活跃商业黑客组织综述2023年9月全球活跃的商业黑客组织(有勒索发布行为)共37个,公开的勒索事件共527件,top 10的黑客组织如下所示:
top 10的商业黑客组织公开发布的勒索事件占全部事件的70%,如下所示:
黑客组织活度趋势下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所下降),但整体活跃度趋势正在逐步增加,统计末端(2023年9月)已达到一年前统计前端(2023年10月)的253%:
随着ti+ai(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,wormgpt和fraudgpt的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐**、诞生和成长,本月活跃黑客组织数量达到历史新高。如下图所示:
本月典型事件说明由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:
(1)科威特财政部
商业黑客组织rhysida在2023.9.25公布了科威特财政部被勒索的信息,该部门未按照勒索组织的要求在规定期限内支付赎金。rhysida共窃取了科威特财政部多达464gb的数据,合计348,979份文件,并公布在互联网上提供**。如下图所示:
(2)福特公司
商业黑客组织8base在2023.9.11对福特进行了入侵并发布了勒索信息,该公司未按照勒索组织的要求在规定期限内支付赎金。2023.9.18,8base将窃取的一部分文件在互联网上进行了发布并提供**,这些文件包括:发票、收据、会计凭证、个人数据、证书、雇佣合同、大量机密信息、保密协议、客户个人档案等,共10gb压缩文件。如下图所示:
(3)台湾裕信汽車
商业黑客组织ragroup在2023.9.4公布了台湾裕信汽車被勒索的信息,该公司未按照勒索组织的要求在规定期限内支付赎金。ragroup共窃取了台湾裕信汽車55gb的数据,包括管理部合約、裕信內部稽核、出納課、會計課、經理室、經分課等数据,并公布在互联网上提供**。如下图所示:
对该类事件,本文分析员的观点和立场如下
1)坚决支持对勒索软件和黑客组织说“no!”
2)企业ciso仍应加强自身安全建设,防止该类事件带来的损失;
3)我们将与某些公益组织合作,为受到勒索和黑客组织攻击的单位提供免费技术支持,该计划预计在近期内上线。
典型黑客组织简介(royal)由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。
已经介绍过的黑客组织有:lockbit3,如需了解请翻阅往期报告。
本期介绍royal(皇家)勒索组织。royal黑客组织最早于2023年底开始活跃,是一个比较“年轻”的黑客组织,但其整体活跃度较高,在不到1年的时间中共发布了192起勒索公告,主要活跃期在2023年11月至2023年5月。
royal勒索组织在活跃期内效率极高,活跃期间,勒索量和发布量仅次于lockbit3、blackcat等顶尖勒索组织。royal的勒索金额大约从100万美元至1100万美元区间,并且他们并不在勒索留言中注明金额,而是要求受害者与他们进行联系和互动,以获取勒索金额。
royal在成功入侵、加密、窃取、勒索某企业时,通常会留下以下信息:
如勒索失败,该组织会在其官网发布新闻,并将该新闻通报到公共**和社交平台,以损害被勒索企业的信誉度:
并在该组织搭建的文件服务器上释放窃取的文件,以供访问者免费**,以下为示例:
匿名社交社群
9月份监控到匿名社交社群情报总数量44,828,818条,提供的有效数据泄露样例**3871份。涉及到我国数据泄露的内容,包括:银行、保险、贷款、航空、微信好友、工商信息、公积金、购房信息、社保信息、医生和**信息、教师和学生信息、网购、月子中心等众多类型。
以下随机选取展示部分样本:
以上数据仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,全数据量估算在1000万条以上。
此外,检索到9月份使用匿名社交软件的活跃用户中,以“13”开头的手机号共发信息978个,以“18”开头的手机号共发信息7975个。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下分别为9月份使用“13”和“18”开头的手机号的top 10信息:
如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 [email protected] 与我们联系。
the end 】—
有AI的地方就有数据,有数据的地方就有数据存储
熊彼特说过,创新是要 建立一种新的生产函数 也就是形成一种从来没有过的生产要素和生产条件的 新组合 从这个角度看,数据这一新的生产要素与人工智能技术的生产条件相结合,这何尝不是一次彻彻底底的创新,它带来的智能化变革将是何等澎湃。年,ai大模型的崛起,我们似乎也从中看到了ai时代加速狂奔的热血图景。按...
800G OSFP SR8 数据中心的高速传输与节能解决方案
g osfp sr光收发模块是一款非常重要的网络通信组件,它可以将数据从一个网络节点传输到另一个网络节点。下面是关于这款光收发模块的详细知识,包括其简介 技术原理 特性 应用场景和优势。g osfp sr光收发模块是一种可热插拔的光纤收发器模块,它被设计用于数据中心g sr以太网链路。该模块采用了最...
理解数据独立性 保护数据的重要原则
数据独立性是指数据的存储和处理不受特定技术或平台的限制,以确保数据的自主性和可移植性。在现代科技发展中,数据独立性成为了保护数据的重要原则。当我们提到数据独立性时,意味着数据应该能够脱离特定的硬件 软件或系统,并能在各种环境中自由流动和使用。这意味着即使更换硬件设备或切换软件平台,数据仍然可以保持完...