2024全球数据泄露态势.pdf

1、北京数字世界咨询有限公司&北京零零信安科技有限公司数据泄露态势月度报告（2024 年 3 月）数据泄露态势月度报告（2024 年 3 月）北京数字世界咨询有限公司&北京零零信安科技有限公司数字安全的三个元素分别为，安全能力、数字资产和数字活动。数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。数字安全能力模型研究的基础，来自于数世咨询 2020 年首次提出的“网络安全三元论”。三元分别为，网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临，“网络安

2、全三元论”在 2022 年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核”的“数字安全三元论”，以适应我国数字中国建设的进程。数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委数世咨询&零零信安 数世智库 数字安全能力研究院 版权声明本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。目录第一章

3、数据泄露市场 21、国家分类 22、行业分类 33、泄露数量 3第二章事件抽样分析 41、美国医疗机构 primeimaging 数据泄露 42、美国国防部数据泄露 43、阿根廷安全部队所有成员信息数据泄露 54、印度外交部数据泄露 65、印尼首都雅加达政府官员个人信息数据泄露 76、中*信数据泄露 87、*松*行数据泄露 98、*国 tg 用户数据泄露 99、*码通数据泄露 1010、*外卖数据泄露 10目录第三章勒索软件和黑客组织 111、活跃商业黑客组织综述 112、黑客组织活跃度趋势 123、本月典型事件说明 13（1）瓦皮蒂能源公司 14（2）英菲尼迪美国 14（3）富尔顿县政府 1

4、44、典型黑客组织简介（hunters international）15第四章匿名社交社群18 数据泄露态势月度报告（2024 年 3 月）1在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于 0.zone 安全开源情报系统，共同发布数据泄露态势月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约 10 万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如

5、果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。本期报告的统计区间 2024 年月。2第一章数据泄露市场2024 年 2 月共监控到全球 DWM（Dark Web Market）情报：深网和暗网有效情报 289,375 份；泄露数据的买卖情报份 1,414 份。1、国家分类其中美国是数据泄露第一大国，共泄露数据 464 份，其他数据泄露较多的国家还包括：中国、俄罗斯、印度、英国、印尼、法国等。详情如下图所示：在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG 记录等。数据泄露态势月度报告（2024 年 3 月）32、行业分

6、类2 月份行业属性数据占泄露数据总量约 80%左右，泄露的行业数据主要包括信息和互联网行业、党政军与社会、金融行业、批发零售业、教育行业等。20%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：3、泄露数量2 月份泄露的数据中包含数份数十亿的二要素个人数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿近百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。4第二章事件抽样分析1、美国医疗机构 primeimaging 数据泄露发布时间：2024.2.1泄露数量：售卖/发布人：Ever

7、est事件描述：2024.2.1 某暗网数据交易平台有人宣称正在售卖一份美国医疗机构 primeimaging 数据，数据总计大小共 1.8TB，标价为 20,000 美元。该售卖者为黑客组织 Everest 成员在暗网数据交易平台的账号，随着勒索手段不断升级，黑客组织在勒索受害者的同时也将获取到的受害者数据售卖在各大数据交易平台上以此来要挟受害者或出售给受害者相关行业的竞争对手。2、美国国防部数据泄露发布时间：2024.2.12泄露数量：售卖/发布人：TNG2R 数据泄露态势月度报告（2024 年 3 月）5事件描述：2024.2.12 某暗网数据交易平台有人宣称正在售卖一份美国国防部数据，

8、该名黑客声称为了打击以色列和美国在加沙地区犯下的罪行而攻击并泄露了美国国防部的数据，此次数据泄露大小为 1GB，该数据并未被标注价格，作者留下了自己的 telegram 联系方式以供买家联系。本月早些时候该黑客还上传了美国中央情报局数据：3、阿根廷安全部队所有成员信息数据泄露发布时间：2024.2.27泄露数量：200,000售卖/发布人：walterwhite事件描述：2024.2.27 某暗网数据交易平台有人宣称正在售卖一份阿根廷安全部队所有成员信息数据，包括：联邦警察、机场警察、军队士兵和海军的6姓名、编号和职位等信息数据。该份数据售价为 0.75ETH，作者仅支持站内私信联系购买，并未

9、留下其他的联系方式。4、印度外交部数据泄露发布时间：2024.2.22泄露数量：374,456 售卖/发布人：Leaks9Bel事件描述：2024.2.22 某暗网数据交易平台有人宣称正在售卖一份印度外交部数据，泄露的总条数为 374,456，具体字段有：名字、姓氏、电话号码、私人电子邮件、生日、地址、手机号码、性别、护照 ID、外交 ID 等。该份数据的价格未知，作者声称正在等待印度政府机构给出价格。数据泄露态势月度报告（2024 年 3 月）75、印尼首都雅加达政府官员个人信息数据泄露发布时间：2024.2.23泄露数量：400,000售卖/发布人：surprisedbos事件描述：202

10、4.2.23 某暗网数据交易平台有人宣称正在售卖一份印尼首都雅加达政府官员个人信息数据，此次共泄露超 400,000 万个人信息数据，包括：姓名、邮箱、身份证号、职位身份等。作者称并不单独出售该份数据，而是出售可以获取到这些数据的工具，价格作者并未提及。86、中*信数据泄露发布时间：2024.2.23泄露数量：售卖/发布人：303事件描述：2024.2.23 某暗网数据交易平台有人宣称正在售卖一份中*信数据，作者称该数据大小共计 1.7TB，其中包含了超 7,000 个数据库和大量内部文件以及与当地政府的合同。该数据的价格作者并未提及，也并没有回复论坛上询价的留言。数据泄露态势月度报告（202

11、4 年 3 月）97、*松*行数据泄露发布时间：2024.2.19泄露数量：87,000,000售卖/发布人：FoxMan333事件描述：2024.2.19 某暗网数据交易平台有人宣称正在售卖一份*松*行数据，此次数据共计泄露超 87,000,000 条包含个人姓名、手机号和身份证号的个人信息数据。8、*国 tg 用户数据泄露发布时间：2024.2.16泄露数量：30,000售卖/发布人：N*i事件描述：2024.2.16 某暗网数据交易平台有人宣称正在售卖一份用*国手机号注册的匿名聊天软件 telegram 用户数据，本次数据共计 30,000 条，价格为 2,000 美元，数据字段：昵称、

12、手机号、运营商、签名等。109、*码通数据泄露发布时间：2024.2.15泄露数量：售卖/发布人：henanovskij事件描述：2024.2.15 某暗网数据交易平台有人宣称正在售卖一份*码通数据，此次数据泄露总计条数超 14,800,000 条大小为 809.94MB 的居民姓名、手机号和身份证号的个人信息数据。10、*外卖数据泄露发布时间：2024.2.9泄露数量：售卖/发布人：henanovskij事件描述：2024.2.9 某暗网数据交易平台有人宣称正在售卖一份*外卖数据，此次数据泄露总计条数超 32,000,000 条的姓名、手机号和地址的个人信息数据，该份数据的价格为 599 美

13、元。数据泄露态势月度报告（2024 年 3 月）11第三章勒索软件和黑客组织1、活跃商业黑客组织综述2024 年 2 月全球活跃的商业黑客组织（有勒索发布行为）共 31 个，公开的勒索事件共 426 件，TOP 10 的黑客组织如下所示：TOP 10的商业黑客组织公开发布的勒索事件占全部事件的80%，如下所示：122、黑客组织活跃度趋势下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所增加），整体活跃度趋势正在逐步增加，统计末端（2024 年 2 月）达到一年前统计前端（2023 年 3 月）的 91.4%：随着 TI+AI（开源情

14、报+人工智能自动化）的攻击方式逐步成熟，尤其是2023 年以来，WormGPT 和 FraudGPT 的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：数据泄露态势月度报告（2024 年 3 月）133、本月典型事件说明由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示 10 个典型样例事件，并对其中部分代表性事件进行细节说明：14（1）瓦皮蒂能源公司商业黑客组织 Hunters international 在 2024.2.16 公布了美国能源公司瓦皮蒂能源公司被勒索的信息。该部门未

15、按照勒索组织的要求在规定期限内支付赎金，Hunters international 在 2024.2.22 公布了窃取到的所有数据。（2）英菲尼迪美国商业黑客组织 mogilevich 在 2024.2.16 公布了汽车制造商英菲尼迪美国被勒索的信息。随后的几天内 mogilevich 在其暗网官网上标记了该条数据已被售出，但出售的价格以及买家未知。（3）富尔顿县政府商业黑客组织 Lockbit3 在 2024.2.14 公布了富尔顿县政府被勒索的信 数据泄露态势月度报告（2024 年 3 月）15息。该数据疑似涉及到美国大选热门人唐纳德特朗普相关的隐私数据，随后Lockbit3 的暗网官网于

16、本月 20 日被联合执法部门封禁。24 日，Lockbit3 重新上线并再次上传了富尔顿县政府数据并给出 7 天时间交付赎金，声称截止到3 月 1 日 12:57 前如并不支付赎金将公开窃取到的所有数据。周五清晨 12:57前该数据被 lockbit3 下架，具体购买人暂时未知，有传闻提到可能是富尔顿县政府或美国其他政府执法机构支付了赎金。对该类事件，本文分析员的观点和立场如下：坚决支持对勒索软件和黑客组织说“NO！”企业 CISO 仍应加强自身安全建设，防止该类事件带来的损失；访问 https:/0.zone/DwmTab 获得全部勒索事件监控4、典型黑客组织简介（hunters inter

17、national）由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base 如需了解请翻阅往期报告。本期介绍 hunters international 黑客组织。Hunters international 于2023 年 10 月在暗网上发布第一篇勒索信息，该组织因其源代码有 60%与 2023年 1 月被 FBI 攻破的黑客组织 hive 相似，因此被广泛认为是黑客组织 hive

18、 的衍生，随后该组织在其暗网官网上发布了跟 hive 并无关系的声明。该组织活16跃度很高，从 2023 年 10 月发布第一篇勒索信息开始，到 2024 年 2 月为止该黑客组织共计发布了 72 篇勒索信息，平均每个月有超 10 名受害者受到该组织的勒索。这些受害者的行业大多为：卫生医疗业、能源、制造业、党政军和社会、教育、批发零售业等。该组织创造了一种新的勒索方式：在该黑客组织获取到了某医疗机构后，单出找出该医疗机构的患者数据。勒索该医疗机构的同时也向这些患者以 50 美元一份的价格出售这些患者的个人信息数据，声称在患者支付 50 美元后不会泄露他们的个人信息数据。Hunters inte

19、rnational 拥有暗网 tor 地址的同时也有明网地址，两个网址内容相同：Hunters international不同于其他黑客组织只限制7天交付赎金的期限，其会根据该公司的营收以及规模判断：如果是大公司且获取到的数据属于重要机密数据，那么会在两个月内逐步按照数据的重要性升序释放数据，例如从人事数据到财务数据到机密工程数据，以此来要挟受害者支付赎金；如果是小公司则勒索不成一下释放全部数据：数据泄露态势月度报告（2024 年 3 月）17在收到了赎金之后，该黑客组织并不会在官网上删除该篇帖子，而仅仅是关闭该篇帖子的下载权限，受害者的名称依旧会在其官网展示：18第四章匿名社交社群 2 月份

20、监控到匿名社交社群情报总数量 8,041,940 条，提供的有效数据泄露样例下载 2,159 份。涉及到我国数据泄露的内容包括：网购、电销、股票、投资、公积金、装修信息、社保信息、教师和学生信息等众多类型。以下随机选取展示部分样本：以上数据仅为在匿名社交社群中，攻击者展示的样例数据，每份样例会提供数十至数百条不等。即：匿名社交社群中仅每个月发布的我国数据泄露的样 数据泄露态势月度报告（2024 年 3 月）19例数据就有 10 万条左右，全数据量估算在 1000 万条以上。此外，检索到2月份使用匿名社交软件的活跃用户中，以“86（我国区号）”开头的手机号共发信息 10,092 条。使用匿名社交软件的用户，不会受到实名监管，其目的性值得考虑。以下为 2 月份使用“86”开头的手机号的 TOP 10信息：*如果您对数据泄露态势月度报告有任何问题或意见，包括引用、指正或合作，请通过电子邮件 与我们联系。20