【数世咨询】全球数据泄露态势（2023.12）_市场营销策划_重点报告202301202_doc.docx

笳皿I数据泄露态势月度报告（2023年12月）北京数字世界咨询有限公司&北京零零信安科技有限公司数据泄露态势月度报告（2023年12月）北京数字世界咨询有限公司&北京零零信安科技有限公司数字活动数字安全的三个元素分别为，安全能力、数字资产和数字活动。数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。数字安全能力模型研究的基础，来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为，网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临，“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核”的“数字安全三元论”，以适应我国数字中国建设的进程。数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构,网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委数世咨询&零零信安数世智库数字安全能力研究院版权声明本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。第一章数据泄露市场21、国家分类22、行业分类33、泄露数量3第二章事件抽样分析41、美国国防部高级研究计划局数据泄露42、爱达荷国家实验室数据泄露63、美国政府合同数据泄露74、孟加拉国议会数据泄露75、北卡罗来纳州亨德森维尔市政府雇员数据泄露86、*拼*购物数据泄露87、*云和*宝数据泄露98、*手两亿订单数据泄露109、湖北*工*行数据泄露1010、*信绑定数据泄露H第三章勒索软件和黑客组织131、活跃商业黑客组织综述132、黑客组织活跃趋势143、本月典型事件说明15(1)中*工程有限公司16(2)佛罗里达州退伍军人事务部16(3)大英图书馆174、典型黑客组织简介(Rhysida)17第四章匿名社交社群20在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布数据泄露态势月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。本期报告的统计区间2023年11月。第一章数据泄露市场2023年11月共监控到全球DWM(DarkWebMarket)情报:深网和暗网有效情报2,229,908份;泄露数据的买卖情报26,952份。Holy<MKushNemsbMrK1、国家分类其中美国是数据泄露第一大国，共泄露数据4,373份，其他数据泄露较多的国家还包括：中国、法国、西班牙、德国、英国、巴西等。详情如下图所示：数据泄露国家分类美国中国,法国ft三5f奂国三Rft意大利俄罗IIi加拿大其他其他,19574,72%中国,722,3%法国,511,2%西班牙,413,1%德国,335,1%英国,264,1%巴西,218,1%意大利,191,1% 俄罗斯,178,1%加拿大1173,1%在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号：密码/邮箱：密码）、LOG记录等。2、行业分类H月份行业属性数据占泄露数据总量约8%左右，泄露的行业数据主要包括金融行业、公民服务行业、制造业、教育业、信息和互联网行业等。92%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示:数据泄露行业分类金融,930,3%L公民服务,219,1%无明显行业属性,24746, 92%一制造,202,1%教育,200,1%信息和互联网,155,1%批发零售，130,1%、一党政军和社会，128.0%卫生医疗,126,0%3、泄露数量11月份泄露的数据中包含一份据称145亿条购物数据，数份超十亿的二要素个人数据泄露，因此除上述购物数据外，全球整体数据泄露量达到两百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在一百亿行以上。第二章事件抽样分析1、美国国防部高级研究计划局数据泄露发布时间：2023.11.22泄露数量：未知售卖/发布人：IntelBroker事件描逑：2023.11.22某暗网数据交易平台有人宣称正在售卖一份大量与DARPA（美国国防部高级研究计划局）相关的军事信息。本月早些时候，该黑客试图在黑客论坛上以500美元的价格出售通用电气“开发和软件管道”的访问权限。在没有出售成功所谓的访问权限后，威胁行为者再次发帖称，他们现在正在出售网络访问权限和据称被盗的数据。“我之前列出了对通用电气的访问,但是，没有认真的买家真正回复我或跟进。我现在在这里单独出售整个东西，包括访问权限（SSH、SVN等），”威胁行为者在黑客论坛上发帖说。“数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。”作为泄露的证据，威胁行为者分享了他们声称被盗的GE数据的屏幕截图，其中包括GEAviations的一个数据库，该数据库似乎包含有关军事项目的信息。截止本篇报告发出时，该黑客成功售出了这个数据。Id:DataSefViCeSConSoleMethodSVersion:1.0.0-Snapshot-0004+922aa64(prerelease)Publisher:GeneralElectriCCOmPanyFriday,September15,20231:35:42PMbyDigieertiimestamp2023Health:Signature:Valid电SourceLink:MissingSymbolsDeterministic(dll/exe):NondeterministicQCompilerFlags:MissingNote:DependenciesarenotcheckedbythistooLTitle:DataServicesConsoleMethodsAuthors:GEAviationSystemsLLCTags:ConsoleMethodsPaCkaqeInfOrmatiOnCopyright:©2023GEAviationSystemsLLCDescription:DataServicesConsoleMethodsUnqualifiedDependencies:.NETCoreApp1Version=v6.0NoDependenciesGEAerospaceVersionDescriptionDocumentfortheidentifierVDDswpartnumberRev-弱颇观娜Preparedby:GEAviationSystemsjJ3290PattersonAvenueSE,GrandRapids,M49512-1934,USA©copyrightdateGEAviationSystemsLLC,USA-l2、爱达荷国家实验室数据泄露发布时间：2023.11.20泄露数量：100,000售卖/发布人：SiegedSec事件描述：2023.11.20某暗网数据交易平台有人宣称正在售卖一份爱达荷国家实验室(美国核试验研究所inl.gov)数据。目前，INL正致力于下一代核电站、轻水反应堆、控制系统网络安全、先进车辆测试、生物能源、机器人、核废料处理等方面的研究。正如该组织(SiegedSeC)之前针对NATO和Atlassian的违规行为一样，他们在黑客论坛和该组织运营的TeIegram频道上公开泄露被盗数据，不顾与受害者谈判或索要赎金。在Telegram上，SiegedSec还通过分享INL内部用于文档访问和公告创建的工具的屏幕截图来发布所谓的违规证据°攻击者还展示了在INL系统上创建了自定义公告，以便让综合体中的每个人都知道此次违规行为。3、美国政府合同数据泄露发布时间：2023.11.6泄露数量：未知售卖/发布人：numl事件描述：2023.11.6某暗网数据交易平台有人宣称正在售卖一份nextstage,ai网站数据，该网站是一个与政府为政府承包商构建的客户管理系统。该售卖人声称窃取到的数据包含一个zip文件，其中包含大量http请求保存的文件，每个文件包含多个日志，包括名字、姓氏、电子邮件等。4、孟加拉国议会数据泄露发布时间:2023.11.28泄露数量：未知售卖/发布人:ZinPin事件描述：2023.11.28某暗网数据交易平台有人宣称正在售卖一份孟加拉国议会网站访问权限和数据。该作者上传了两张关于权限的截图，标价1000美元并留下了自己的telegram联系方式。5、北卡罗来纳州亨德森维尔市政府雇员数据泄露发布时间：2023.11.22泄露数量：未知售卖/发布人：SiegedSec事件描述：2023.11.22某暗网数据交易平台有人宣称正在售卖一份北卡罗来纳州亨德森维尔市的数百份政府雇员数据，这些记录包含更多的全名、地址、电子邮件地址、电话号码、社会安全号码等。6、*拼*贝物数据泄露发布时间：2023.11.2泄露数量：1,454,672,835售卖/发布人：PQl124事件描述：2023.11.2某暗网数据交易平台有人宣称正在售卖一份电商平台拼*145亿条购物数据，数据字段：姓名、电话、地址、订单ID、商品名称、价格、下单时间，总大小为892GB,标价为55000美元。根据经验以及研究发现，该玩家为刚注册的新账号且支付方式单一：只支持USDT支付和站内联系他，并且该用户上线了之后并没有很积极的回复论坛下的问题，登录也是几天登录一次，这些行为并不符合一个想出售数据的暗网玩家。由零零信安安全分析师根据样本、价格、售卖习惯、黑客信誉、暗网玩家特性等综合分析，该数据售卖行为判断为诈骗的可能性极高。7、*云和*留据泄露发布时间：2023.11.19泄露数量：未知售卖/发布人：WannaSee事件描述：2023.11.19某暗网数据交易平台有人宣称正在售卖一份*云和*宝数据，数据字段有：名称，电话，住址，订单时间，订单编号等，总大小为2.21TB,售卖价格为15000美元，卖家还附上了一个IOGB样例的链接并留下了XMPP和tg联系方式。8、*手两亿订单数据泄露发布时间：2023.11.24泄露数量：200000000售卖/发布人：d*Z事件描述：2023.11.24某暗网数据交易平台有人宣称正在售卖一份*手2亿订单数据，卖家附上了一张样例，数据字段有：姓名，电话，地址，购买商品名称等，售卖价格为180美元。2亿订单，个人僖息含地址一» S18O.9湖北*工*行数据泄露发布时间:2023.11.10泄露数量：500000售卖/发布人：bugX事件播述：2023.11.10某暗网数据交易平台有人宣称正在售卖一份湖北省武汉工*银行客户数据，总数量为50万条，数据字段有：姓名，电话，身份证号，银行卡号，价格为50000美元并附上了中间交易人联系方式和数据样例。两天后该卖家又在论坛下方评论道“价格错误，5000美元是正确的价格”，目前数据的真假性未知，但综合判断，该数据售卖行为判断为诈骗的可能性极高。fM«S10、*信绑定数据泄露发布时间:2023.11.8泄露数量：49000000售卖/发布人：1894761事件描述：2023.11.8某暗网数据交易平台有人宣称正在售卖一份*信绑定数据，总数量为4900万条，价格为188美元，卖家附上的样例中数据字段有：姓名，手机号，身份证号等。由eMmsnW9ermm94slslHZmwldMM5«M5«MdN>MdFM>M>W6inowoecsr4in纱Zoe9ir?4inozozroenzozzoztrzmozwzsoeneooe,“inmwzern?or；8第*In切70;rsren;g?70;8”6inezoeIM9g三uOIKZla0072Kll90tZl)MC£90OrLrZIOQj=C11mQS££«*"eIXg9U一eXLOzT89"Z6WE960M1666H-81(W0TZ6Srltl-e8c9lK"g三三三三K1XI3三KS-黑SL4m>r>aNj©信用麻第三章勒索软件和黑客组织1、活跃商业黑客组织综述2023年11月全球活跃的商业黑客组织（有勒索发布行为）共32个，公开的勒索事件共447件，TOP10的黑客组织如下所示：X活跃商业黑客组织TOP10一来自2023年11月微据通露态势TOP10的商业黑客组织公开发布的勒索事件占全部事件的75%,如下所示:W月各黑客组织勒索事件占比2、黑客组织活跃趋势下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比少量增加），但整体活跃度趋势正在逐步增加，统计末端（2023年11月）已达到一年前统计前端（2022年12月）的44.66%：事件数量一事件数员随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃黑客组织数量较上月有所降低但仍保持高活跃度状态。如下图所示：3、本月典型事件说明由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：小件国家/组织时间愿客组织yamaha-.ph雅马哈汽华菲律宾公司2023/11/15IncRansomToyotaFinancial丰田金融2023/11/15IncRansomICBCFS工银金融服务有限费任公司2023/11/8Lockbit3EnergyChina中国能源工程仃限公司2023/11/24RhysidaBritishlibrary大英图书馆2023/11/20RhysidaFidelityNationalFinancial富达国民金融2023/11/8AlphvJapanAviationElectronicsIndustry,Ltd.11本航空电子工业株式会社2023/11/7AlphvChinaPetrochemicalDevelopment中国石油化学工业开发股份有限公司（台湾）2023/11/28AlphvFloridaDepartmentofVeterans'Affairs佛罗里达州退伍军人事务部2023/11/30Snatchnal.res.in国家航空航天实验室（印度）2023/11/28Lockbit3(1)中*工程有限公司商业黑客组织rhysida于2023.IL24公布了中*工程有限公司被勒索的信息，并给了其7天时间支付赎金：(2)佛罗里达州退伍军人事务部商业黑客组织SnatCh于2023.IL30公布了佛罗里达州退伍军人事务部被勒索的信息，并给了其7天时间支付赎金：EnterUUIDBackCreatedSep5.20231203AMUpdated:S19.202301:03AMfdva.state.fl.usFloridaDepartmentofVeterans'AffairsWatchingoverandadvocatingforourstate'sveteransandtheirfamiliesarethemorethan1.100menandwomenoftheFlohdaDepartmentofVeteransrAffairs.FloridaKasearnedreputationasthemostveteran-friendlystateinthenation.Ourstate'$veteransbringmorethan$184NllionfederaldollarsannuallyintoFlorida'seconomy.FlondahasthethirdlargestpopulationofveteransinthenationafterCaliforniaandTexaswithmorethan1.5mtllioveterans-12percentoftheSunshineState*spopulation18andover.Ifyouareveteran,thankyouforyourservice.IfyouarethechoCr<jm>vn<Jlv*rn»crrth*nlfmtfor（3）大英图书馆商业黑客组织rhysida于2023.11.20公布了大英图书馆被勒索的信息,并给了其7天时间支付赎金：对该类*件,本文分析员的观点和立场如下坚决支持对勒索软件和黑客组织说“N0!”企业CISO仍应加强自身安全建设，防止该类事件带来的损失;我们将与某些缪釐缎缥的伟，劝耨懒防帽喀蜘啸睇板谶蝶免费技术支持，该计划预计在近期内上线64、典型黑客组织简介（RhySida）由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。已经介绍过的黑客组织有：Lockbit3,Royal,Play如需了解请翻阅往期报告。本期介绍Rhysida勒索组织，Rhysida（希腊语“卫娱蚣”）是一家于2023年5月出现的勒索软件企业，在入侵智利军队(EjGrcitodeChile)并在网上泄露被盗数据后迅速声名狼藉。Rhysida于2023下半年6月开始活跃。截止本篇文章发布时已发布66个勒索事件，其中已售卖或发布的事件63个，待售卖或发布的事件3个。其中该组织的攻击目标涵盖11个行业，其中以教育行业、政府、卫生医疗行业为主，占比为67%oRhysida黑客组织对于攻击和勒索成功的企业或组织会发布如下声明和留言，并与其进行勒索交涉：尊敬的XX公司，这是来自网络安全团队Rhysida的自动警报。一个不幸的情况出现了您的数字生态系统遭到破坏，大量机密数据已从您的网络中泄露。这样做的潜在后果可能是可怕的，包括将您的数据出售、发布或分发给竞争对手或媒体机构。这可能会造成重大的声誉和经济损失。然而，这种情况并非没有补救措施。我们的团队开发了一种独特的密钥，专门用于恢复您的数字安全。这把钥匙代表了从这种情况中恢复的第一步，也是最关键的一步。请务必注意，任何单独解密加密文件的尝试都可能导致永久性数据丢失。我们强烈建议不要采取此类行动。时间是减轻此违规行为影响的关键因素。随着时间的流逝，潜在的损害会不断升级。您需要立即采取行动并充分合作才能有效地驾驭这种情况。请放心，我们的团队致力于指导您完成此过程。解决问题的旅程始于使用唯一密钥。我们可以共同恢复您的数字环境的安全性。此致敬礼该组织会在其官网上发布一些获取到的数据样例和售价，并提示“在仅有7天的时间里，抓住机会竞标独家、独特和令人印象深刻的数据。打开钱包，准备购买独家数据。我们只卖一手，不转售，你将是唯一的拥有者！”以及“留下你的邮箱和评论，如果你的价格太不公道我们不会回复你”：NCCentralUrwersityHorn.C4TOnaCe.Owm,CMCaA.mtutionrmtfad.tlwhMrtOf0u*hw¾Ho1*Cjro*na.MwrwdnMkvMfMCAMn<oeUtua*nn9ONNnaWattocpomrA*aMrmM(4bteM*veM*m*VCMnn9forproven.13:00:12Wtmi7dysonOedoduseiKtfteOpponuMrriobadonttduiM；urtqueendMvf<e0dataOPenyo*waMetEbedytobyfQDciuwpdteWVwcn>BOrWhead,norwwttn9,youb*tfw*yPrice:15BTClf*oiSwphwjqq勒索失败后，该组织会在其官网发布新闻，并在其官方服务器上上传数据，以供访问者免费下载：勒索成功后，该组织会在官网上泄露进度条上标记“sold”：股票信息、贷款信息、公积金、购房信息、社保信息、医生和护士信息、网购第四章匿名社交社群11月份监控到匿名社交社群情报总数量31,843,483条，提供的有效数据教育信息、同住人信息、泄露样例下载3002份。涉及我国数据泄露的内容，包括:等众多类型。以下随机选取展示部分样本:*ftCftTftBRMBtBPWMlABffl BmMIuaa，( 三 a< *iytw *«<«« tt1*0工， ”， 5MaH*r%."u"EMha:一ua«K0ita?9ia«MaMiu翕«*涔M力费5sd3*6W,N7E*犬KE3F.««A9fiftt8A>*rEb；«f'mwM7M0M«m三Ji,wmw,tB-11.JUJJ&三JtMttJ4CFM«4,“M1«1.mrM4M*J*0MW,UJ1IJJIMyMCfiMMV*MWWrmM»，5MKIW*»129UMWtMu,1KrWfItt*01>CMIJ皿«»«se*AaMAt.raZTMkNxi2nsita13幻s28gnN2b24a隽仁"=l<'二£<«M匕严g二二二":Sg三三:W=三三三比就落ZX掠侬侬傲信修侬g婚窗侬S您X1i三;MSi;S;IEi拨拨温揣揣揣揶2拨瑞拨瑞拨揣氏H燮三三=a.nllnli”小lMIlHll9l4""nlsl“"lli5Hlln"lX，M缁淮遭道E遭“M缢这1.11，窑MMMM*三MM黑»IK又»“一IKXX芟*N:IKee冕IK发«以上数据仅为在匿名社交社群中，攻击者展示的样例数据，每份样例会提供数十至数百条不等。即：匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右，全球数据量估算在1000万条以上。此外，检索到11月份使用匿名社交软件的活跃用户中，以“86（我国区号）”开头的手机号共发送信息2372个。使用匿名社交软件的用户，不会受到实名监管，其目的性值得考虑。以下为11月份使用“86”开头的手机号的TOP10信息：86150753267251128616259234781104861915256163288861890541691374861768803877738861871649109134861663083358232861353439519331861312710195429861336049933029*如果您对数据泄露态势月度报告有任何问题或意见，包括引用、指正或合作,请通过电子邮件dw与我们联系。第三方独立夷金三方Ilfll立SMl700,安金企业埠5(×bR悔2000小R培“长-O合作方式身内容 J为户立方供H，讨幡s«»a*重.行重Ifi次育行业客户及用户安金产440%供或<s三Ra*”IftffFA北京数字世界咨询有0R公司（以下图称敛世咨询）是曲内数字产业第三方调研咨询蜕恂，主普业务为网络安全产立领域的超费轩究、资源对整与行业咨询在Ofl内网络支主产业的舞音字究领域.无论是专业性还是责源茎*性.均处于业界领先地位.F-一i*三三二调,用完方面，闻写发布汉中国敢字安全大记,中国奴字安全能力'10潮h/中国数字安全loo注.中国敛宇安全产业酰计百业内分算力巨大的公开报区,网Br，家也机将I.30家部委.大型国企色晕位慌供各不足蒯化的内部调研报告.2,N'资源的搜方面,欣世咨询目前已对授工内网珞,全企业700然C以及150石取A：全投资业务的资本方，建立了残震口良好的沟通合作关鬃，包出户同室办（议活动,按解,"帽安全产品与企业推企业资滞警合罪.,）,.三行业咨询方直,经常性的为疣管部门、:察邪美:,声全企业/吧2堀力*鼓机构嫌供建汉,企业培训及专家评审等咨词圈务.二，美W-JzWJ公司地址：北京布久区Ir口街90-2号封安方网站：EW.Mcoricn收系期俯：dvdwconn数世咨询DigitalWoridConsulting数字安全领域独立第三方调研机构