澳门尼威斯人网站(中国)有限公司

　　值得一提的是通过短信通道泄露的情况ღ◈ღ★✿，虽然占比不高但影响极大ღ◈ღ★✿，仅一起事件就涉及1000+家企业ღ◈ღ★✿。

　　近年来ღ◈ღ★✿，国家数据安全和个人信息保护相关法律法规相继出台和逐渐细化ღ◈ღ★✿，2022年国家级攻防演练中更是新增了对于数据泄漏的攻防点ღ◈ღ★✿，说明ღ◈ღ★✿：数据安全保护澳门尼威斯人网站ღ◈ღ★✿，逐步从监管法规ღ◈ღ★✿，落实到具体的攻防实战中来ღ◈ღ★✿。

　　今年三月《国务院政府工作报告》再次强调数据安全的重要性ღ◈ღ★✿，对企业而言ღ◈ღ★✿，发生数据泄露不仅会受到监管和法律的惩罚ღ◈ღ★✿，还有可能遭受财产和名誉损失ღ◈ღ★✿。

　　Q1金融企业的用户遭遇钓鱼仿冒类电信诈骗案件上升ღ◈ღ★✿，其中一个很重要的原因是诈骗分子基于泄漏的用户信息数据ღ◈ღ★✿，通过钓鱼仿冒网站来实施精准诈骗ღ◈ღ★✿，因此ღ◈ღ★✿，及时监测数据泄露风险ღ◈ღ★✿，做好数据安全建设ღ◈ღ★✿，是企业发展路上的重要课题9UU有你有我足矣!已满十八ღ◈ღ★✿。

　　威胁猎人发布《2023年Q1数据资产泄露分析报告》ღ◈ღ★✿，希望借此报告为企业数据安全建设ღ◈ღ★✿、防数据泄露提供启发和建议ღ◈ღ★✿。

　　报告内含详细的态势分析ღ◈ღ★✿、值得关注案例和攻防建议9UU有你有我足矣!已满十八ღ◈ღ★✿，支持文末点击“阅读原文”下载完整报告PDFღ◈ღ★✿。

　　疫情结束后黑产更加活跃ღ◈ღ★✿，相较2022年Q1ღ◈ღ★✿，本季度的数据泄露事件数上升了42%ღ◈ღ★✿，涉及企业多达1204家ღ◈ღ★✿。

　　一月份是春节档期ღ◈ღ★✿，绝大多数的黑产在休假ღ◈ღ★✿，因此事件数相对较少ღ◈ღ★✿，到了二三月ღ◈ღ★✿，黑产逐渐“上岗”澳门尼威斯人网站ღ◈ღ★✿，ღ◈ღ★✿，风险事件数量也在逐月增加ღ◈ღ★✿。

　　威胁猎人对事件发布者进一步研究发现ღ◈ღ★✿，其中有两个黑产在Q1发布了244个数据泄露事件ღ◈ღ★✿，从过往发布信息来看ღ◈ღ★✿，主要针对物流行业ღ◈ღ★✿，推测应该与全国多家快递公司的快递员合作ღ◈ღ★✿。

　　从威胁猎人监控渠道上来看ღ◈ღ★✿，2023年Q1的数据泄露渠道主要集中在Telegramღ◈ღ★✿、Githubღ◈ღ★✿、暗网ღ◈ღ★✿、网盘4个渠道ღ◈ღ★✿。

　　其中ღ◈ღ★✿，匿名社交软件Telegram因信息传输的私密性和便利性ღ◈ღ★✿，成为数据交易和传播非法信息的理想平台ღ◈ღ★✿，占比高达82%ღ◈ღ★✿。

　　经威胁猎人溯源ღ◈ღ★✿，拥有一手数据的人为保护自身安全ღ◈ღ★✿，会找代理来推广和交易数据ღ◈ღ★✿，因此传播数据大多为二手转卖数据ღ◈ღ★✿。

　　从行业分布来看ღ◈ღ★✿，2023年Q1的数据泄露事件遍布各行各业ღ◈ღ★✿，涉及38个行业ღ◈ღ★✿，包含物流ღ◈ღ★✿、金融ღ◈ღ★✿、电商ღ◈ღ★✿、航空ღ◈ღ★✿、招聘ღ◈ღ★✿、教育ღ◈ღ★✿、旅游等行业ღ◈ღ★✿。

　　合作方泄露位居第二ღ◈ღ★✿，占比34%ღ◈ღ★✿，攻击者往往会攻击供应链上的中小企业ღ◈ღ★✿，这类企业的安全成本投入低甚至没有ღ◈ღ★✿，易被攻破ღ◈ღ★✿，与之合作企业的数据安全很难得到保障ღ◈ღ★✿。

　　值得关注的是内部安全缺陷泄露和短信泄露ღ◈ღ★✿，虽然占比不高ღ◈ღ★✿，分别为10%和7%ღ◈ღ★✿，但影响范围大ღ◈ღ★✿，尤其是短信泄露ღ◈ღ★✿。

　　威胁猎人在2023年3月15号ღ◈ღ★✿，捕获了一起短信泄露事件ღ◈ღ★✿：涉及1000+家企业ღ◈ღ★✿，其中一家企业被泄漏的短信数量高达1亿+条ღ◈ღ★✿，被黑产在Telegram上售卖ღ◈ღ★✿。

　　威胁猎人2022年度《数据资产泄露报告》显示ღ◈ღ★✿：借贷行业的数据泄露事件数占据金融行业总数据泄露事件数的38%ღ◈ღ★✿，位居第一ღ◈ღ★✿。

　　到2023年Q1澳门尼威斯人网站ღ◈ღ★✿，这一数值已经飙升到了51%ღ◈ღ★✿，威胁猎人情报平台共监测到相关事件91起ღ◈ღ★✿，远多于其他金融细分行业ღ◈ღ★✿。

　　威胁猎人研究员进一步分析原因ღ◈ღ★✿，发现金融借贷行业通过第三方软件服务（如SDK）和短信通道泄露的占比最多ღ◈ღ★✿。

　　通过这两个原因泄露的数据基本只有手机号ღ◈ღ★✿，难以获取姓名等详细信息ღ◈ღ★✿，但有心黑产可通过社工库ღ◈ღ★✿、历史泄露信息等渠道澳门尼威斯人网站ღ◈ღ★✿，查询到姓名ღ◈ღ★✿、地址ღ◈ღ★✿、身份证等具体用户信息ღ◈ღ★✿，加上被泄露数据的实时性较高ღ◈ღ★✿，在黑产领域有巨大市场威斯尼斯人ღ◈ღ★✿，ღ◈ღ★✿。

　　1）以低利息ღ◈ღ★✿、下款快等诱惑ღ◈ღ★✿，引导用户前往其他平台借贷ღ◈ღ★✿，以“个人信息输入错误为由冻结贷款ღ◈ღ★✿，需缴纳保证金才能解冻”的方式进行诈骗ღ◈ღ★✿；

　　近期ღ◈ღ★✿，威胁猎人情报平台在Telegram上捕获一起黑产出售某网贷平台用户信息的安全事件网路安全ღ◈ღ★✿。ღ◈ღ★✿，每天1-2千条ღ◈ღ★✿，涉及字段包含姓名ღ◈ღ★✿、手机号ღ◈ღ★✿、下款时间和额度等ღ◈ღ★✿，极有可能被黑产用于诈骗澳门尼威斯人网站ღ◈ღ★✿。

　　经该网贷平台内部排查ღ◈ღ★✿，定位到数据泄漏原因是Spring Boot Actuator未授权漏洞ღ◈ღ★✿，API泄漏了数据库的连接信息ღ◈ღ★✿，数据库还支持公网连接ღ◈ღ★✿，黑客直接连接数据库即可窃取数据ღ◈ღ★✿。

　　企业需要监控应用程序状态ღ◈ღ★✿，Spring Boot内置监控功能Actuator9UU有你有我足矣!已满十八ღ◈ღ★✿，当Spring Boot Actuator配置不当时ღ◈ღ★✿，攻击者可通过访问默认的内置APIღ◈ღ★✿，轻易获得应用程序的敏感信息ღ◈ღ★✿：

　　在Actuator 1.5.x以下版本ღ◈ღ★✿，所有API都默认无需授权直接访问ღ◈ღ★✿，存在巨大的安全隐患ღ◈ღ★✿；

　　在1.5.x版本以上ღ◈ღ★✿，默认只能访问到/healthღ◈ღ★✿、/info这两个通常不会泄露敏感信息的APIღ◈ღ★✿。但如果配置不当ღ◈ღ★✿，将/envღ◈ღ★✿、/heapdump等API配置为无需授权即可访问ღ◈ღ★✿，也可能带来安全隐患ღ◈ღ★✿。

　　2023年Q1发生了多起严重的数据泄露事件ღ◈ღ★✿，给很多企业造成严重的负面影响ღ◈ღ★✿，接下来ღ◈ღ★✿，让我们看看本季度最值得关注的数据泄露案例ღ◈ღ★✿：

　　2023年3月1日ღ◈ღ★✿，威胁猎人在暗网发现有黑产出售某大数据平台的数据ღ◈ღ★✿，包含50W+条Json格式涉及姓名ღ◈ღ★✿、手机号数据防泄ღ◈ღ★✿。ღ◈ღ★✿、部门等字段的数据ღ◈ღ★✿。

　　威胁猎人情报研究员根据过往黑产发布的信息分析发现ღ◈ღ★✿，绝大部分数据都是从数据库获取ღ◈ღ★✿，涉及国家ღ◈ღ★✿、行业广阔ღ◈ღ★✿，大概率是通过MongoDBღ◈ღ★✿、MySQL等数据库弱口令或未授权等方式获取ღ◈ღ★✿。

　　记录病毒木马从计算机中窃取的敏感信息的日志文件ღ◈ღ★✿。文件中包含各类软件/浏览器保存/企业后台系统/FTP/数据库等的账号密码澳门尼斯人游戏电玩网站ღ◈ღ★✿、Cookie等隐私数据澳门尼斯人游戏ღ◈ღ★✿，ღ◈ღ★✿，会导致企业机密ღ◈ღ★✿、客户资料泄露等安全事件ღ◈ღ★✿。

　　起因是员工个人电脑中过病毒木马ღ◈ღ★✿，连接过公司的PostgreSQL数据库被Stealer log记录了下来ღ◈ღ★✿，因该数据库可被公网访问ღ◈ღ★✿，黑产直接连接数据库即可窃取ღ◈ღ★✿。

　　以下为黑产展示其窃取到的PostgreSQL数据库连接信息尼斯ღ◈ღ★✿，ღ◈ღ★✿，同时黑产表示还破解了数据库中其他9个用户的哈希ღ◈ღ★✿，仅修改泄漏的账号密码已无法解决该问题9UU有你有我足矣!已满十八ღ◈ღ★✿。

　　该黑产从19年开始行动ღ◈ღ★✿，员工个人电脑在21年已被病毒木马攻击ღ◈ღ★✿，直到黑产在23年售卖相关数据被监测到才暴露问题ღ◈ღ★✿，最终导致了此次数据泄漏事件发生ღ◈ღ★✿。

　　1）更换数据库连接地址ღ◈ღ★✿，设置IP白名单ღ◈ღ★✿，限制可访问IPღ◈ღ★✿，或将数据库放到内网中ღ◈ღ★✿，不暴露到公网ღ◈ღ★✿；

　　威胁猎人情报系统监测到ღ◈ღ★✿，某招标平台的API接口正在遭受黑产攻击ღ◈ღ★✿，原因是该接口返回过多的敏感信息ღ◈ღ★✿。

　　黑产可直接攻击API获取到该公司员工明文的姓名ღ◈ღ★✿、身份证ღ◈ღ★✿、手机号ღ◈ღ★✿、住址ღ◈ღ★✿、密码等信息ღ◈ღ★✿，泄漏的密码虽然经过md5加密ღ◈ღ★✿，但仍可以还原出明文密码ღ◈ღ★✿。

　　同时该公司的OA系统暴露在公网ღ◈ღ★✿，黑产甚至可以通过接口泄露的账号密码ღ◈ღ★✿，直接登录OA系统ღ◈ღ★✿，窃取企业内部信息或是实施其他恶意行为ღ◈ღ★✿。

　　威胁猎人研究员观察到ღ◈ღ★✿，某健身平台的API存在越权漏洞9UU有你有我足矣!已满十八ღ◈ღ★✿，上传user_id就会返回对应用户的手机号ღ◈ღ★✿，user_id看起来是不可遍历ღ◈ღ★✿、预测的ღ◈ღ★✿，难以被利用ღ◈ღ★✿。

　　通过分析发现ღ◈ღ★✿，密文user_id前面都是B_BBKOs9UU有你有我足矣!已满十八ღ◈ღ★✿，明文userid前面都是155ღ◈ღ★✿，可以说明user_id是根据规则来生成的ღ◈ღ★✿，黑产可自行生成密文user_idღ◈ღ★✿，实现越权获取任意用户的手机号ღ◈ღ★✿。

　　近期ღ◈ღ★✿，威胁猎人在分析蜜罐流量时发现ღ◈ღ★✿，多家保险代理公司均存在API漏洞ღ◈ღ★✿，极有可能泄露与其合作甲方的用户数据ღ◈ღ★✿。

　　为给甲方推广保险业务ღ◈ღ★✿，保险代理公司A推出“完善个人信息ღ◈ღ★✿，领取保险”等活动ღ◈ღ★✿。页面虽然展示的是脱敏后的个人用户信息ღ◈ღ★✿，但威胁猎人分析发现ღ◈ღ★✿，该保险代理公司只是在前端展示时做了脱敏ღ◈ღ★✿，API接口返回的其实是明文数据ღ◈ღ★✿。

　　该缺陷API通过传入encryptStr来获取个人敏感信息9UU有你有我足矣!已满十八ღ◈ღ★✿，而encryptStr是通过另一个缺陷API接口获取ღ◈ღ★✿。

　　黑产通过遍历url中的参数即可拿到不同用户的encryptStrღ◈ღ★✿，再去上述的接口请求ღ◈ღ★✿，即可获取到不同用户的个人信息ღ◈ღ★✿。

　　1）与合作方传输涉敏数据时ღ◈ღ★✿，需对数据进行加密ღ◈ღ★✿，同时提高数据导出权限澳门尼威斯人网站ღ◈ღ★✿，避免传输过程中暴露ღ◈ღ★✿，并做好内部审查ღ◈ღ★✿；

　　2）要求合作方依据个保法要求保护ღ◈ღ★✿、加密ღ◈ღ★✿、脱敏等ღ◈ღ★✿，同时必须了解具体数据传输流程ღ◈ღ★✿，避免数据流露到其他平台或平台防护较为薄弱ღ◈ღ★✿；

　　威胁猎人监测到ღ◈ღ★✿，Telegram上有黑产在出售某快递的运单信息数据ღ◈ღ★✿，字段包含运单编号ღ◈ღ★✿、产品类型ღ◈ღ★✿、收件人地址ღ◈ღ★✿、手机号ღ◈ღ★✿、姓名ღ◈ღ★✿，派送员姓名等澳门尼威斯人网站ღ◈ღ★✿，一天可提供的数据5万+条ღ◈ღ★✿，价格为0.9元一条ღ◈ღ★✿。

　　在获得该快递平台授权后ღ◈ღ★✿，威胁猎人展开调查ღ◈ღ★✿，通过黑产透露的后台带水印的截图ღ◈ღ★✿，定位到此次数据泄漏事件由于离职员工账号权限未及时收回导致ღ◈ღ★✿。

　　近期ღ◈ღ★✿，Twitter在Github上发生代码泄露的事件引发全网热议ღ◈ღ★✿，除此之外ღ◈ღ★✿，威胁猎人情报情报也监测到一起Github泄露事件威斯尼斯人官方登录ღ◈ღ★✿。ღ◈ღ★✿。

　　经溯源发现ღ◈ღ★✿，事因某员工往Github上传的日志文件中包含了插入用户表的SQL语句ღ◈ღ★✿，因此泄露了管理员账号密码ღ◈ღ★✿。

　　Telegram和暗网是敏感文件数据泄露的高发地段ღ◈ღ★✿，除此之外ღ◈ღ★✿，网盘ღ◈ღ★✿、文库ღ◈ღ★✿、在线文档等渠道也可能泄露企业敏感信息ღ◈ღ★✿。

　　案例一ღ◈ღ★✿：某银行贷款业务机密文件被泄露在某文库ღ◈ღ★✿，不仅影响银行声誉ღ◈ღ★✿，而且可能导致银行违反法规承担法律责任9UU有你有我足矣!已满十八ღ◈ღ★✿。除此之外ღ◈ღ★✿，黑灰产也可以利用被泄露的机密文件实施违法行为ღ◈ღ★✿，比如复印该文件假装该银行工作人员行骗ღ◈ღ★✿。

　　案例二ღ◈ღ★✿：某企业的内部在线文档遭泄露ღ◈ღ★✿，泄露字段包含详细的服务器信息ღ◈ღ★✿、APP信息ღ◈ღ★✿、企业在支付宝等平台的信息等ღ◈ღ★✿，甚至暴露了具体的登录账号和密码ღ◈ღ★✿，如果这些信息被黑产发现ღ◈ღ★✿，黑产可直接登录账号密码ღ◈ღ★✿，实施窃取机密文件等恶意行为ღ◈ღ★✿。

　　企业数据资产多样化并且价值越来越高ღ◈ღ★✿，涉及用户信息ღ◈ღ★✿、员工信息ღ◈ღ★✿、敏感文件ღ◈ღ★✿、业务代码等ღ◈ღ★✿，数字化带来数据的泄露面也更大ღ◈ღ★✿，及早感知可能的数据泄漏风险越发重要ღ◈ღ★✿。

　　威胁猎人数据泄漏监测情报ღ◈ღ★✿，全面监测黑产的数据交易渠道ღ◈ღ★✿、敏感文件和代码的外发渠道ღ◈ღ★✿，助力企业及时感知ღ◈ღ★✿、及早溯源和防御潜在数据泄漏风险ღ◈ღ★✿，避免大规模的数据泄漏影响业务的正常发展ღ◈ღ★✿。

　　企业应当在“业务优先”的基础上ღ◈ღ★✿，加强API安全建设ღ◈ღ★✿，通过API安全管控平台ღ◈ღ★✿，全面梳理对外开放的APIღ◈ღ★✿、流动的敏感数据和访问账号ღ◈ღ★✿，实现对敏感数据异常访问风险的及时监测ღ◈ღ★✿。

　　威胁猎人的API安全管控平台对企业的APIღ◈ღ★✿、敏感数据和访问账号进行全面的梳理ღ◈ღ★✿，评估API资产的未授权ღ◈ღ★✿、越权访问ღ◈ღ★✿、敏感数据暴露过多等设计缺陷ღ◈ღ★✿，基于黑产攻击情报及时识别数据爬取ღ◈ღ★✿、账号异常数据访问等风险ღ◈ღ★✿，从根源杜绝数据泄露风险发生ღ◈ღ★✿。

　　做到外部威胁情报监测与API资产安全结合ღ◈ღ★✿，企业才能高效和有效地应对数据泄露风险ღ◈ღ★✿，在数字化建设与创新发展的道路上ღ◈ღ★✿，走得又快又稳澳门尼威斯人网站ღ◈ღ★✿。