欧洲杯直播2023年Q1数据泄露事件近1000起涉及1204家企业、38个行业!
时间:2024-07-17浏览次数:
小9直播体育免费直播, 值得一提的是通过短信通道泄露的情况,虽然占比不高但影响极大,仅一起事件就涉及1000+家企业。  近年来,国家数据安全和个人信息保护相关法律法规相继出台和逐渐细化,2022年国家级攻防演练中更是新增了对于数据泄漏的攻防点,说明:数据安全保护,逐步从监管法规,落实到具体的攻防实战中来。  今年三月《国务院政府工作报告》再次强调数据安全的重要性,对企业而言,发生数据泄露不仅会受到监管和法律的惩罚,

  值得一提的是通过短信通道泄露的情况,虽然占比不高但影响极大,仅一起事件就涉及1000+家企业。

  近年来,国家数据安全和个人信息保护相关法律法规相继出台和逐渐细化,2022年国家级攻防演练中更是新增了对于数据泄漏的攻防点,说明:数据安全保护,逐步从监管法规,落实到具体的攻防实战中来。

  今年三月《国务院政府工作报告》再次强调数据安全的重要性,对企业而言,发生数据泄露不仅会受到监管和法律的惩罚,还有可能遭受财产和名誉损失。

  Q1金融企业的用户遭遇钓鱼仿冒类电信诈骗案件上升,其中一个很重要的原因是诈骗分子基于泄漏的用户信息数据,通过钓鱼仿冒网站来实施精准诈骗,因此,及时监测数据泄露风险,做好数据安全建设,是企业发展路上的重要课题。

  威胁猎人发布《2023年Q1数据资产泄露分析报告》,希望借此报告为企业数据安全建设、防数据泄露提供启发和建议。

  报告内含详细的态势分析、值得关注案例和攻防建议,支持文末点击“阅读原文”下载完整报告PDF。

  2023年Q1,威胁猎人情报平台监测和验证到的有效数据泄露事件高达987起。

  疫情结束后黑产更加活跃,相较2022年Q1,本季度的数据泄露事件数上升了42%,涉及企业多达1204家。

  一月份是春节档期,绝大多数的黑产在休假,因此事件数相对较少,到了二三月,黑产逐渐“上岗”,风险事件数量也在逐月增加。

  威胁猎人对事件发布者进一步研究发现,其中有两个黑产在Q1发布了244个数据泄露事件,从过往发布信息来看,主要针对物流行业,推测应该与全国多家快递公司的快递员合作。

  从威胁猎人监控渠道上来看,2023年Q1的数据泄露渠道主要集中在Telegram、Github、暗网、网盘4个渠道。

  其中,匿名社交软件Telegram因信息传输的私密性和便利性,成为数据交易和传播非法信息的理想平台,占比高达82%。

  经威胁猎人溯源,拥有一手数据的人为保护自身安全,会找代理来推广和交易数据,因此传播数据大多为二手转卖数据。

  从行业分布来看,2023年Q1的数据泄露事件遍布各行各业,涉及38个行业,包含物流、金融、电商、航空、招聘、教育、旅游等行业。

  从泄露原因来看,本季度人为拍摄信息导致数据泄露的占比最多,高达42%,进一步研究发现:

  合作方泄露位居第二,占比34%,攻击者往往会攻击供应链上的中小企业,这类企业的安全成本投入低甚至没有,易被攻破,与之合作企业的数据安全很难得到保障。

  值得关注的是内部安全缺陷泄露和短信泄露,虽然占比不高,分别为10%和7%,但影响范围大,尤其是短信泄露。

  威胁猎人在2023年3月15号,捕获了一起短信泄露事件:涉及1000+家企业,其中一家企业被泄漏的短信数量高达1亿+条,被黑产在Telegram上售卖。

  2)给不同通道的短信带上差异化标识,发生数据泄漏事件时,可快速定位问题短信通道。

  威胁猎人2022年度《数据资产泄露报告》显示:借贷行业的数据泄露事件数占据金融行业总数据泄露事件数的38%,位居第一。

  到2023年Q1,这一数值已经飙升到了51%,威胁猎人情报平台共监测到相关事件91起,远多于其他金融细分行业。

  威胁猎人研究员进一步分析原因,发现金融借贷行业通过第三方软件服务(如SDK)和短信通道泄露的占比最多。

  通过这两个原因泄露的数据基本只有手机号,难以获取姓名等详细信息,但有心黑产可通过社工库、历史泄露信息等渠道,查询到姓名、地址、身份证等具体用户信息,加上被泄露数据的实时性较高,在黑产领域有巨大市场。

  1)以低利息、下款快等诱惑,引导用户前往其他平台借贷,以“个人信息输入错误为由冻结贷款,需缴纳保证金才能解冻”的方式进行诈骗;

  2)伪装成平台客服,以“账户违规、注销等借口”要求用户缴纳费用进行诈骗。

  黑产获取的用户个人信息数据越多,让用户确信是客服的可能性越高,实施诈骗的成功率也越高。

  近期,威胁猎人情报平台在Telegram上捕获一起黑产出售某网贷平台用户信息的安全事件,每天1-2千条,涉及字段包含姓名、手机号、下款时间和额度等,极有可能被黑产用于诈骗。

  经该网贷平台内部排查,定位到数据泄漏原因是Spring Boot Actuator未授权漏洞,API泄漏了数据库的连接信息,数据库还支持公网连接,黑客直接连接数据库即可窃取数据。

  企业需要监控应用程序状态,Spring Boot内置监控功能Actuator,当Spring Boot Actuator配置不当时,攻击者可通过访问默认的内置API,轻易获得应用程序的敏感信息:

  在Actuator 1.5.x以下版本,所有API都默认无需授权直接访问,存在巨大的安全隐患;

  在1.5.x版本以上,默认只能访问到/health、/info这两个通常不会泄露敏感信息的API。但如果配置不当,将/env、/heapdump等API配置为无需授权即可访问,也可能带来安全隐患。

  2023年Q1发生了多起严重的数据泄露事件,给很多企业造成严重的负面影响,接下来,让我们看看本季度最值得关注的数据泄露案例:

  2023年3月1日,威胁猎人在暗网发现有黑产出售某大数据平台的数据,包含50W+条Json格式涉及姓名、手机号、部门等字段的数据。

  威胁猎人情报研究员根据过往黑产发布的信息分析发现,绝大部分数据都是从数据库获取,涉及国家、行业广阔,大概率是通过MongoDB、MySQL等数据库弱口令或未授权等方式获取。

  经威胁猎人情报专家分析和溯源,发现该数据泄露事件由Stealer log导致。

  记录病毒木马从计算机中窃取的敏感信息的日志文件。文件中包含各类软件/浏览器保存/企业后台系统/FTP/数据库等的账号密码、Cookie等隐私数据,会导致企业机密、客户资料泄露等安全事件。

  起因是员工个人电脑中过病毒木马,连接过公司的PostgreSQL数据库被Stealer log记录了下来,因该数据库可被公网访问,黑产直接连接数据库即可窃取。

  以下为黑产展示其窃取到的PostgreSQL数据库连接信息,同时黑产表示还破解了数据库中其他9个用户的哈希,仅修改泄漏的账号密码已无法解决该问题。

  该黑产从19年开始行动,员工个人电脑在21年已被病毒木马攻击,直到黑产在23年售卖相关数据被监测到才暴露问题,最终导致了此次数据泄漏事件发生。

  1)更换数据库连接地址,设置IP白名单,限制可访问IP,或将数据库放到内网中,不暴露到公网;

  威胁猎人情报系统监测到,某招标平台的API接口正在遭受黑产攻击,原因是该接口返回过多的敏感信息。

  黑产可直接攻击API获取到该公司员工明文的姓名、身份证、手机号、住址、密码等信息,泄漏的密码虽然经过md5加密,但仍可以还原出明文密码。

  同时该公司的OA系统暴露在公网,黑产甚至可以通过接口泄露的账号密码,直接登录OA系统,窃取企业内部信息或是实施其他恶意行为。

  1)确认业务逻辑中是否会用到API接口所返回的字段,删除返回多余的字段;

  威胁猎人研究员观察到,某健身平台的API存在越权漏洞,上传user_id就会返回对应用户的手机号,user_id看起来是不可遍历、预测的,难以被利用。

  威胁猎人研究员观察到,该健身房的另一个API接口返回了100条user_id,如下图所示:

  通过分析发现,密文user_id前面都是B_BBKOs,明文userid前面都是155,可以说明user_id是根据规则来生成的,黑产可自行生成密文user_id,实现越权获取任意用户的手机号。

  2)查询敏感数据时,若查询参数带有id类型的字段,使用不可遍历、预测的字符串;

  近期,威胁猎人在分析蜜罐流量时发现,多家保险代理公司均存在API漏洞,极有可能泄露与其合作甲方的用户数据。

  为给甲方推广保险业务,保险代理公司A推出“完善个人信息,领取保险”等活动。页面虽然展示的是脱敏后的个人用户信息,但威胁猎人分析发现,该保险代理公司只是在前端展示时做了脱敏,API接口返回的其实是明文数据。

  该缺陷API通过传入encryptStr来获取个人敏感信息,而encryptStr是通过另一个缺陷API接口获取。

  黑产通过遍历url中的参数即可拿到不同用户的encryptStr,再去上述的接口请求,即可获取到不同用户的个人信息。

  1)与合作方传输涉敏数据时,需对数据进行加密,同时提高数据导出权限,避免传输过程中暴露,并做好内部审查;

  2)要求合作方依据个保法要求保护、加密、脱敏等,同时必须了解具体数据传输流程,避免数据流露到其他平台或平台防护较为薄弱;

  3)及时捕捉数据交易市场实时动态,根据相关线索分析涉及公司的泄露事件,判断泄露环节。

  威胁猎人监测到,Telegram上有黑产在出售某快递的运单信息数据,字段包含运单编号、产品类型、收件人地址、手机号、姓名,派送员姓名等,一天可提供的数据5万+条,价格为0.9元一条。

  在获得该快递平台授权后,威胁猎人展开调查,通过黑产透露的后台带水印的截图,定位到此次数据泄漏事件由于离职员工账号权限未及时收回导致。

  目前,该快递平台已收回离职员工权限并反馈警方,窃取数据的黑产已拘捕在狱。

  近期,Twitter在Github上发生代码泄露的事件引发全网热议,除此之外,威胁猎人情报情报也监测到一起Github泄露事件。

  经溯源发现,事因某员工往Github上传的日志文件中包含了插入用户表的SQL语句,因此泄露了管理员账号密码。

  黑产拿到该账号密码后直接登录管理后台,最终造成了数据泄露、甚至系统权限失限等严重后果。

  对于因员工失误将代码推送到GitHub上导致的信息泄漏,威胁猎人安全专家建议:

  1)立即移除代码:立即将代码从GitHub上移除,尽早停止信息泄漏的影响;

  2)分析泄漏程度:评估信息泄漏程度和影响范围,包括可能泄露的数据、已访问到数据的人数等。

  3)加强安全意识教育:加强员工的安全意识教育,提高他们对代码安全的重视和保护意识;

  4)定期审查:定期审查代码库,发现漏洞或问题时及时修复,防止类似问题再次发生。

  Telegram和暗网是敏感文件数据泄露的高发地段,除此之外,网盘、文库、在线文档等渠道也可能泄露企业敏感信息。

  近期,威胁猎人情报平台监测到,多家企业的敏感信息在网上被泄露,此处列举两个案例。

  案例一:某银行贷款业务被泄露在某文库,不仅影响银行声誉,而且可能导致银行违反法规承担法律责任。除此之外,黑灰产也可以利用被泄露的实施违法行为,比如复印该文件假装该银行工作人员行骗。

  案例二:某企业的内部在线文档遭泄露,泄露字段包含详细的服务器信息、APP信息、企业在支付宝等平台的信息等,甚至暴露了具体的登录账号和密码,如果这些信息被黑产发现,黑产可直接登录账号密码,实施窃取等恶意行为。

  1)告知员工保护数据的重要性,引导员工学习企业的数据安全政策和网安知识;

  3)实施访问控制措施,例如:员工使用VPN连接到公司网络,才能访问敏感文件;

  4)定期安全审计和漏洞扫描,以确保网络和系统的安全,如发现问题立即补救;

  面对越来越多的数据泄露风险,企业需由内而外地加强安全防御建设,保障企业和用户数据安全:

  企业数据资产多样化并且价值越来越高,涉及用户信息、员工信息、敏感文件、业务代码等,数字化带来数据的泄露面也更大,及早感知可能的数据泄漏风险越发重要。

  威胁猎人数据泄漏监测情报,全面监测黑产的数据交易渠道、敏感文件和代码的外发渠道,助力企业及时感知、及早溯源和防御潜在数据泄漏风险,避免大规模的数据泄漏影响业务的正常发展。

  企业应当在“业务优先”的基础上,加强API安全建设,通过API安全管控平台,全面梳理对外开放的API、流动的敏感数据和访问账号,实现对敏感数据异常访问风险的及时监测。

  威胁猎人的API安全管控平台对企业的API、敏感数据和访问账号进行全面的梳理,评估API资产的未授权、越权访问、敏感数据暴露过多等设计缺陷,基于黑产攻击情报及时识别数据爬取、账号异常数据访问等风险,从根源杜绝数据泄露风险发生。

  做到外部威胁情报监测与API资产安全结合,企业才能高效和有效地应对数据泄露风险,在数字化建设与创新发展的道路上,走得又快又稳。

  2023年1月5日,永安在线进行品牌焕新,正式更名为“威胁猎人”(详见:)。

  特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

  距离英国大选投票不到48小时,现任首相私信求助,“满身黑历史”的约翰逊“出山”拉票

  重庆一落马局长长期以“大哥”自居,充当“影子股东”聚钱敛财,获刑5年3个月

  中国7岁小女孩发现特斯拉“技术缺陷”,马斯克用一个单词回复了!女孩家长最新回应

  威胁猎人(Threat Hunter)成立于2017年,专注于威胁情报和API安全解决方案的输出。

  中方:就近期中国留学生在新西兰遇袭案和中国游客或遭警方不公正执法事件提出交涉


本文由:小9直播体育免费直播提供
Copyright © 2002-2024 小9直播体育免费直播科技有限公司 版权所有  备案号:粤IP K8254  
网站地图
地址:小9直播体育免费直播省广州市天河区88号  邮箱:admin@1029gmail.com  电话:400-123-8254