QY球友会体育

【黑产大数据】2024年数据泄露风险态势报告2025年2月7日安全大分析

　　在數字化時代浪潮中，數據已成爲企業核心競爭力的關鍵要素。然而，數據泄露風險如同達摩克利斯之劍，高懸于各行業頭頂。2024年，數據泄露事件頻發，波及衆多企業，嚴重威脅用戶隱私與企業利益。

　　威脅獵人《2024年數據泄露風險態勢報告》對2024年國內企業數據資産泄露風險概況、非法數據交易産業鏈等進行多維度分析，客觀呈現2024年國內數據泄露風險態勢全景。

　　1、2024年數據泄露風險態勢依舊嚴峻，多個行業多家企業均存在數據泄露風險

　　2024年全年監測到37575起有效數據泄露事件，涉及2598家企業，覆蓋金融、電商、快遞、汽車、本地生活等多個關鍵行業。

　　2024年銀行業數據泄露事件數量高達6333起，連續兩年位居榜首，金融行業數據安全管控迫在眉睫；本地生活行業數據泄露事件從2023年的Top14躍升至Top10，2024年共發現700多起事件，新型泄露類型“強登”是主要推手。

　　2024年數據泄露渠道仍以匿名群聊與暗網爲主，二者總量占比90.83%；文庫及網盤渠道風險事件量翻倍增長，達2714起。

　　2024年“私域群”、“擔保”模式快速發展，在私域群中累計發現數據泄露風險事件4193起，黑産團夥數量突破500個，且超過一半的“私域群”由擔保機構運作。

　　2024年ATO風險持續增長，僅一周超470萬員工賬號泄露，涉及社交、電商、金融、短視頻等多個行業21萬家企業。

　　2024年，“查檔”模式迅速發展，並“解密”與“強登”兩種新型數據泄露方式。“強登”自6月起現身，先在電商巨頭平台出現，後波及外賣、快遞等多平台；“解密”則是黑産爲破解隱私面單而生，近一年來，相關數據泄露事件✅呈上升趨勢。

　　蘋果官方針對Facetime詐騙的打擊使得“IOS”字段風險事件下降，下半年較上半年下降59.90%；同時，“扶貧”相關非法✅數據交易需求上漲。

　　1.12024年監測數據泄露事件37575起，涉及金融、電商、快遞等行業2598家企業

　　威脅獵人數據泄露風險監測平台數據顯示，2024年1月至12月全網監測了3.03億條關于數據泄露的情報，基于威脅獵人真實性驗證引擎以及DRRC專業人工分析驗證出有效的數據泄露事件共計37575起，涉及金融、電商、快遞等行業2598家企業。

　　威脅獵人發現，在2024年2月數據泄露事件量出現大幅下降（較2024年1月下降了36%，共898起），在11月出現了較大幅度上升（較2024年10月上漲了29.48%，共計1096起），從數據泄露源頭進一步分析了解，主要原因如下：

　　2024年2月，第三方泄露、短信通道泄露等不同原因所引發的數據泄露事件量均出現下降，可以看出2024年2月數據泄露事件大幅下降主要是受到春節期間黑産放假帶來的交易爲放緩的影響。

　　2024年11月，非法數據交易團夥的活躍度有所增加，團夥數量相較于10月新增了156個非法數據交易團夥，這一增長導致了11月全網數據泄露事件數量明顯上升。

　　從行業分布來看，2024年1月至12月數據泄露事件中涉及88個行業，前五行業分別是銀行、電商、消費金融、保險以及快遞。其中銀行行業數據泄露事件數量高達6333起，連續兩年爲數據泄露事件數最多的行業。

　　此外，今年本地生活行業數據泄露事件行業排名相比2023年有所上升，從之前的Top14上升至Top10。數據顯示，2024年本地生活行業共發現700多起數據泄露事件，較2023年大幅上漲7.22倍。

　　進一步分析發現，本地生活數據泄露大幅上漲的原因是新型泄露類型“強登”導致。

　　本地生活：主要指提供外賣、餐飲、電影票、買菜等與生活息息相關的服務平台。

　　威脅獵人統計數據顯示，2024年數據泄露的主要渠道仍然是匿名群聊和暗網，占比高達90.83%。值得關注的是，2024年文庫及網盤渠道泄露的風險事件量有2714起，占全渠道事件量的7.34%，相比去年有了大幅提升。

　　值得一提的事，自2024年6月起，威脅獵人數據泄露風險監測平台引入了大語言模型技術，利用大模型的智能篩選與海量數據分析能力，再結合威脅獵人DRRC專業團隊的校驗和判斷，極大提升了來自文庫及網盤渠道的風險文件審核效率和風險事件檢出能力。

　　隨著非法數據交易的規模化和複雜化趨勢加劇，愈來愈多的黑産團夥傾向于選擇私域環境進行交易，使得交易更加隱蔽化、組織化和規範化。

　　威脅獵人數據統計，2024年在 Telegram“私域群”中，累計發現數據泄露風險事件4193起，較2023年增長了2.70倍，“私域群”中的黑産團夥數量突破500個，是2023年的2.88倍。

　　私域群：需通過邀請鏈接/管理員同意後才能進入的群組，一般外部人員無法監測或進入該群聊，群組有管理員定期清洗群成員名單，一定程度上過濾了廣告、機器人、二道販子、中介等可信度較低的人員，群組內容質量更接近真實數據泄露源頭。

　　威脅獵人情報人員針對“私域群”內的數據泄露事件和黑産團夥進一步分析發現：

　　1）黑産團夥在“私域群”中通過加密消息、暗號和私密聊天等方式與買家進行交流聯絡，使黑産非法交易更加難以被監管機構察覺。

　　擔保機構：在非法✅數據交易中扮演“中間人”的角色，負責驗證交易雙方的資質、監督交易過程並確保交易的順利完成。這種模式提高了交易雙方的信任度、非法數據交易流程更加“規範”，一定程度上保障了非法數據交易的順利進行。

　　威脅獵人對擔保團夥進一步分析，在當前衆多擔保團夥中，前三大擔保團夥分別是“好旺擔保”（原彙旺擔保）、“新幣擔保”和“春江擔保”。其中，“好旺擔保”在擔保團夥中✅占據主導地位，由其擔保的非法數據交易事件量占比高達94.34%，可謂“一家獨大”。

　　值得關注的是，爲規避監管打擊，“原彙旺擔保”在2024年10月19日正式改名爲“好旺擔保”。

　　1.5勒索攻擊導致的數據泄露事件共4034起，涉及制造業、金融、房地産等行業

　　2024年，威脅獵人捕獲到由勒索攻擊導致的數據泄露事件共4034起，涉及全球多個行業，排名前三的行業是制造業、金融、房地産。

　　注：鑒于特權賬號泄露事件的特殊性，威脅獵人捕獲相關情報後，將直接與合作客戶溝通處理，故此類事件未納入本次報告的總數據泄露事件統計。

　　特權賬號（Privileged Account）：指具有特殊權限的賬號，通常擁有對系統、網絡或數據的高級訪問權限，如企業員工賬號。特權賬號存在權限大、分布散、數量多等特點，分布在業務系統、應用程序、數據庫、網絡設備等各類應用系統中，一旦賬號被接管（賬號接管 Account Takeover, ATO），可能導致敏感數據資源泄露、業務中斷等後果。

　　對黑産團夥而言，與其穿透層層防護竊取數據，不如直接竊取賬號，通過內網橫向移動，利用特權賬號的管控手段缺失攻破授權賬號，最終利用特權賬號權限對系統進行惡意破壞。

　　近年來，因賬號權限管控不當或失竊導致的風險事件正在逐年上漲，IBM X-Force最新發布的《2024年威脅情報指數報告》中表示，攻擊者使用被盜憑據訪問有效賬戶的情況比去年增加了71%，占X-Force在2023年應對的所有風險事件的30%，與網絡釣魚並列成爲頭號感染媒介。

　　1.6.1 僅一周超470萬員工賬號泄露，涉及社交、電商等行業21萬家企業

　　威脅獵人ATO情報服務持續對企業賬號泄露風險進行監測，僅一周時間就監測到被泄露的企業員工賬號數量超470萬，涉及社交、電商、金融、短視頻等行業近21萬家企業。

　　威脅獵人情報人員對已泄露的企業賬號信息進一步分析發現，泄露的賬號有大量外部軟件賬號，其Salesforce平台（客戶關系管理CRM）數量最多，其次是HubSpot平台（客戶關系管理CRM）、Zoom（視頻會議軟件✅）。

　　這些平台均存在大量敏感賬號數據，包括但不限于用戶身份信息、企業機密、客戶信息、財務信息以及通信內容等，一旦這些數據的安全防線被突破，賬號被惡意接管，將給企業和用戶帶來一系列嚴重問題。

　　1.6.3 企業內部系統普遍面臨賬號泄露風險，以企業郵箱、招聘系統、統一登錄系統等爲主

　　除了企業外部軟件賬號信息，企業內部系統，如企業郵箱、招聘、統一登錄、文檔系統等都出現了不同程度的賬號泄露情況。這些系統涉及企業內部通信、業務流程等，承載著大量敏感數據和關鍵信息，一旦某個員工的賬號被惡意接管，如同爲企業的大門開了一道縫隙，讓攻擊者有機會窺探、竊取甚至篡改這些敏感數據，進而給企業帶來損失。

　　互聯網黑色産業鏈發展至今，圍繞數據資産泄露和倒賣的非法數據交易産業發展已相當成熟，基于不同角色分工、定位演化出了上、中、下遊：

　　包括公司內鬼、黑客、運營商、運營商第三方代理、短信通道服務商等。這些人專門負責從各公司的內部和外部尋找獲取數據的渠道並竊取數據。在數據越來越值錢的當下，巨大的利益和極低的犯罪成本驅動著上遊的數據竊取者甘願铤而走險。

　　大部分活躍在暗網、黑産論壇、Telegram、Potato等平台。這些人在不同的平台上發布帖子銷售數據，並負責對數據進行分類和清洗，以滿足客戶的各種需求。

　　包括電話營銷公司、詐騙團夥等。購買數據的人通常會用于精准營銷和詐騙。數據在使用後可能會被二次出售或與其他非法團體交換。近年來，對精細化數據的需求日益增長，例如針對保險客戶、理賠用戶、高淨值人群的數據。這些數據被用于更精准的營銷和詐騙活動，其成功率遠高于傳統方法。

　　下遊的需求變化促使上遊和中遊的非法人員采用各種技術手段收集用戶數據，並根據需求對數據進行分類整理後出售。

　　威脅獵人研究發現，2024年非法數據交易産業鏈在上、中、下遊均出現了一些新的變化：

　　2.12024年“查檔”類型泄露事件快速上漲，涉及電商、外賣、社交、快遞等行業數據

　　近年來，威脅獵人陸續關注到非法數據交易産業鏈中遊頻繁出現的“查檔”數據泄露情況，例如通過一個手機號，就可以查詢這個手機號相關的所有身份信息，如地址、銀行卡號、名下資産等等。

　　查檔：指黑産團夥可提供指定人員的資料檔案，如通過一個手機號，可以查詢這個手機號相關的身份信息，如地址、銀行卡號、名下資産等。查檔服務包含查詢類服務、解密服務、強登類服務等。

　　常見的查檔服務有：軌迹類（人物軌迹、車輛軌迹）、名下財産（名下卡、名下車、名下房）、網購訂單、快遞業務（快遞地址、物流信息）、個人信息（婚姻、戶籍、社保）等。

　　威脅獵人情報數據顯示，2024年“查檔”相關的數據泄露趨勢上漲，全年超過3200起風險事件，泄露信息涉及電商購物信息、外賣配送信息、社交賬號、快遞信息、銀行流水等。

　　威脅獵人在2024年發現了一種新的查檔類型——“強登”，泄露信息主要涉及用戶的網購訂單、外賣配送訂單、出行打車訂單、快遞訂單信息等，涵蓋了電商、快遞、本地生活服務（主要是外賣行業）和出行服務等多個行業的頭部平台。

　　自2024年6月起，通過“強登”獲取數據的方式開始出現，到12月底已累計超過6600起。最初主要集中在電商頭部平台，隨後逐漸蔓延至外賣和快遞等多個平台。

　　強登：指黑灰産通過多種複雜手法強行登錄用戶的平台賬號，獲取賬號下的具體訂單等敏感信息，再把這些信息提供給下遊數據購買者，在中遊數據售賣時售賣廣告會標注【強登】。

　　威脅獵人情報人員對“強登”進一步挖掘和分析，發現上遊團夥針對“強登”的主要作案手法如下：

　　信息獲取：首先，攻擊者通過手機號在其他渠道（如查檔或社工庫等）獲取用戶的身份證號和證件照等信息。

　　繞過驗證：接著，利用獲取到的證件照生成AI視頻或模擬人臉，以此繞過平台的視頻驗證環節。

　　強行登錄：最後，通過平台的忘記密碼或找回密碼等接口，繞過平台的校驗機制，強行登錄用戶的賬號，從而獲取賬號中的訂單內容等敏感信息。

　　上遊團夥通過“強登”方式獲取到電商、外賣、快遞、出行服務等行業訂單信息後，再由中遊團夥在各種匿名群聊、社交媒體等發布售賣廣告，吸引更多下遊需求人群。

　　近年來，“隱私面單”技術不斷發展，通過隱藏用戶真實手機號來保護個人信息安全。過去一年，在物流行業監管加強和企業的共同努力下，隱私面單的推廣有效減少了快遞面單泄露事件，整體治理效果明顯（見下圖）。但道高一尺魔高一丈，2024年黑産推出了新的查檔服務——“解密”來破解隱私面單，最近一年，“解密”相關數據泄露事件逐漸增多。

　　訂單解密主要是通過“快遞單號+虛擬號碼（或前三後四打碼的手機號）”進行解密，獲取完整手機號。

　　威脅獵人關注到，解密類服務價格遠低于查詢類服務價格，通過對每月捕獲到的查詢類和服務類事件涉及價格的中位數進行統計：

　　1、查詢類服務價格中位數在75-435元之間，其中通過手機號碼查詢收件地址等信息的價格更高，主要受服務複雜度和風險影響。

　　2、解密類服務價格中位數僅4元左右，最高7.5元，最低2元。解密服務屬于分布式查詢，主要面向電商商家群體。

　　在2024年1月至12月期間，威脅獵人在各類黑産渠道捕獲了近千條精准求購數據信息，涉及貸款類、網購類、股票類、招聘類、快遞類等數據。其中，貸款類用戶信息需求最爲旺盛，包括消金網貸、銀行貸款、企業貸、貸款✅超市等多個細分品類下的用戶信息。

　　求購數據：指下遊電信詐騙或營銷團夥在黑産渠道中發布他們對特定類型數據的購買需求信息。

　　從求購數據類型來看，主要包括三大類，金融類數據、物流快遞數據和招聘求職數據。金融類數據主要針對境外股民和虛擬貨幣投資者；物流快遞數據則重點針對大型快遞公司的訂單信息，存在內部人員參與倒賣的可能；招聘求職數據主要涉及主流招聘平台，黑産一般用于電話營銷、詐騙。

　　從求購數據指向地區來看，印度和越南重災區。求購印度地區的數據主要涉及股票證券等金融類數據需求；求購越南地區的數據類型則較爲多樣，包括政府官員、在外越僑、寶媽學生等群體信息。

　　3.1“IOS”字段相關風險事件下半年共發現496起，較上半年下降59.90%✅

　　威脅獵人研究發現，從2023年下半年開始至2024年第一季度，泄露的數據字段中，“IOS”字段增多。從數販賣黑産團夥與下遊數據購買者的聊天記錄來看，下遊數據購買者對于數據的複購要求中多次提及“IOS”設備數據的篩選要求。

　　但從4月份開始，“IOS”字段相關的風險事件呈下降趨勢，2024年下半年相比上半年下降了59.90%

　　威脅獵人情報人員針對下半年下降現象進一步分析原因，下半年“IOS”相關數據下降主要是因爲蘋果官方針對Facetime詐騙出台相關打擊措施導致的。

　　2024年3月，蘋果官方升級iOS系統至iOS17.4.1版，推出對陌生Facetime號碼來電拒接的功能，並在5月推送IOS 17.5版本，增強了Facetime通話功能。威脅獵人情報人員測試後確認，該功能已實現對陌生來電的拒接。

　　（黑産在匿名群聊中發布蘋果官方關于Facetime陌生號碼拒絕來電的通知）

　　威脅獵人在5月的輿情監控中發現，部分境外詐騙團夥，尤其是緬北地區，因Facetime更新而無法繼續使用該方式進行詐騙，初步判斷這是蘋果官方針對此類違法行爲的打擊措施。

　　與此同時，威脅獵人關注到，非法數據交易市場上負責數據清洗和販賣的黑産團夥建議詐騙團夥改用“常規”方式進行詐騙（即受用手機號碼進行詐騙），以應對Facetime的打擊行爲。

　　威脅獵人數據泄露風險監測平台情報數據顯示，2024年“扶貧”相關的非法數據交易情報數量顯著上漲，尤其是第四季度。

　　扶貧料：在非法數據交易中和扶貧補貼對象相關的個人信息或數據，這些數據被黑産非法獲取後，通常會轉售給第三方，用于精准詐騙、洗錢等非法活動。

　　威脅獵人情報人員通過對非法數據交易産業鏈各環節深入研究發現，非法交易市場中兜售的“扶貧料”有來自資金盤APP、手工打扶貧粉等。

　　資金盤APP：指黑産團夥通過對一些“投資項目”相關資金盤進行數據采集獲取到“投資人”個人信息，這些投資人一般都會有銀行卡，售賣給下遊團夥實施騙卡跑分。

　　手工打扶貧粉：指黑産團夥通過人工方式在社交媒體等渠道大規模收集扶貧對象的個人信息。

　　數據清洗團夥和販賣團夥則會對以上數據進行年齡、地區、活躍情況等篩選後，售賣給下遊團夥進行精准詐騙、跑分洗錢、招募作爲“背債人”實施貸款欺詐等。

　　案例：2024年10月，威脅獵人曾捕獲到一起“QQ扶貧樣本”相關數據泄露事件，泄露樣本字段包括聯系方式（手機號、QQ號）、個人身份信息（姓名、性別、年齡）、詳細地址（具體到街道和住址）、經濟信息（年收入 45,000 元）、行爲屬性（在線設備狀態。