2023年度数据泄露态势分析报告.docx

目录COntentS051.1 背景051.2 报告内容说明061.3 数据来源说明07082.1. 数据泄漏月份占比:082.2. 数据安全事件类型占比092.3. 数据泄漏事件动机占比1（）2.4. 数据泄漏原因占比Il2.5. 数据泄漏的数据源占比132A泄漏数据类型占比142.7. 数据泄漏人员类型占比152.8. 数据泄漏各阶段占比162.9. 个人信息泄漏行业占比172.10. 个人信息泄漏维度占比182.11. 个人信息泄漏严重程度占比19E巫H203.1. MOVEit造成的数据泄富203.2. 人工智能造成的数据泄露215.1.加强对合作伙伴的安全能力评估235.2. 建设数据分类分级保护能力235.3. 开展全链路数据流转风险监控245.4. 加强企业云上数据防护245.5. 建立数据安全运营能力2425HTF26附录A:MITREATT&CK框架侦察技术列表26附录B:个人信息泄漏严重程度评估表26附录C:参考来源26概述1.1背景2023年对于数据安全行业来说是非懵关罐的一年。随着相关法律法规出台，我国数据安全法制化建设已初具规模，对于各领域各部门的规制作用和影响力将进一步深化。1月16日，信息化部、国家互联网信息办公室等+六部门联合印发1业和信息化W+六部门关1«安全产蜂展的指导蒯.®RJMm«眼«及相关数据资源开发利用需求，并指出数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态，既要满足财致理者履行数据安全保护责任义务的需要，也要满足促进数据资源开发利用、激活数据要素价值的需要。2月3日，国家互联网信息办公室公布个人信息出境标准合同办法,自2023年6月1日起施行。3月5日，第十四届全国人民代表大会第一次会议在北京人民大会堂隆就召开。2023年GS府工何皓触“促飒*3实相助深KB图，味发网序三,'加强网络、数据安全和个人信息保护“。数据安全和个人信息保护雌三年被写入政府工作报告，呼应了“十四五”数铿济发展规划和关于秘殴据基础制度更好髀明碑素作用的意见）等要求，保障了202脾八项置点！作扎S推进。5月1日，信息安全技术关键信息基础设施安全保护要求（WT392042022）正式施行。这是为贯彻关键信息基础设施保护条例，我国发布的首个关键信息基础设施安全保护国家标准，对于我国关键信息基础设施安全保护的实施有着极为重要的指导作用。2023年，人工常能技术也在快速迭代和普及，与之相关的数据安全问题也受到社会各界关注。5月23日，生成式人工智能服务1陛暂行办法）经国家互联网信息办公室2023年第1次室务会会议审议通过，并经国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国川由电视总局同意，自20»年8月15日起施行。协法）提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则，采取有效措施豉励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎和分类分级监管，明确了提供和使用生成式人工智能服务总体要求。提出了促进生成式人工智能技术发展的具体措施，明确了训舔数据丸理活动和数据标注等要求。随着相关法律法规出台，我国数据安全法制化建设已初具规模，对于各领域各部门的规制作用和影响力将进一步深化。金融行业重要规范中国人民银行业务领域数据安全曾理办法（征求意见稿发布；财政部印发企崛据资源相关会计姻酶行规定，敷据资产“入表”；多项个人信息保护国家标准陆续颁发数据安全行业的快速发展，促进了国家的数字经济战略建设。202碑10月25日，国家数据局正式挂牌成立。主要负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，8»推进数字中国、数字经济、数字社会规划和速设等方面。国朝S据局的成立标志着我国数字经济进入的发展阶段。12月31日，国家数据局等17个部门联合印发“数据要素X”三年行动计划（2024-2026年）（T文简称行动计划），旨在落实中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见）,充分发挥数据要索乘财应RJg经济社会发展。作ftS3rtffffiWBK三W件蜘®»»析，一方面可以了解数据泄Il事件的表现和特点，使社会各界意识到数据安全的危害；另一方面也可以帮助组织机构洞察数据安全的规律，预判数据安全威胁的发展趋势，对机构的决策和行业发展有一定分考三Ao1.2报告内容说明本报告通过统计分析2023年国内所发生的数据泄露事件，结合全球数据泄露事件的趋势，尽力为读者呈现2023年国内数据泄露的态势全景。数据分析直节里，对收集的数据泄«件进行了多维度的统计分析，例如数据泄露事件在时间维度上的占比、导致数据泄It的各种原因占比等。意图使数据泄露事件与各种因素之间的相关性得到展现。分析内容包括统计图赛展现和描述，包括趋势、比例和排名等形式。并根据统计图表展现的内容，结合掌握的其他情报信息，进行原因分析和说明。在本报告的总结部分，性地叙述了数据泄露态势可能Sl含的信息。建议章节里，是根据分析的原因对组织机构提出降低数据安全风险的建议和措施。-1.r.2。23屋度数*泄漏态势分析报告1.3数据来源说明本期报告分析所采用的数据来源于闪捷信息安全与战略研究中心、合作伙伴、互联网等。数据的者理沿用了VERIS(VoCabUkiryforEventRecordingandIncidentShar-Ing)框架。这样的收Itt遴工作还在持续进行中，这为后续的数据分析工作打下了基础。VERIS框架在未来使用过程中还会不断改进和细化，这与数据安全行业自身处在高速发展中有关。报告撰写团队也希望在这一过程中，能形成一个适用于国内数据安全事件记录的框架，欢迎读者为报告撰写团队提供有建设性的指导意见，数据分析2.1,数据泄香月份占比数据泄露事件月份分布1400¼线“傕HK汨昼趋势;3AiI出必BFH:柑数据泄露事件在2023年各月份的数置占比分布具有一定的波动。考虑到数据样本的局限性，这种波动不一定能反映真实的数值，但可以一定程度上帮助了解其规律和趋势。对各月份数据进行线性拟合(红色虚线),可以发现数据泄»件在2023年各月份的占比2023年9月、10月和11月，数据泄露事件的IHt总数超过全年总数的30K很可能与巴以冲突有关。巴以冲蝴爆发，叠加持续的俄乌战争，加剧了不同阵营支持者的对立，让全球的攻击活动变得更加活跃。场合战争”的概念并不是首次出现，在现代战场上，配合网络战成了常规操作。各种黑客组织将以色列和巴勒斯坦的关罐基础设施、政府机构和组织作为目标。这些攻击包括分布式拒绝服务(DDOS)攻击、篡改攻击和数据泄震。随着其他国家对战争衰明立场冲突也蔓延到邻近地区，影响到M他几个国家。懈空间J海、空、天协人婢动的*空间，0这一点在近年来的多次地因帔中体现更加直接。战争所娥的能源、制造、运输和医疗，以及战争中的兵力、分布和作战计划，无一不受到网络攻击的威胁。所以没有网络安全就很难保障整体国家安全，网络空间的安全建设更加迫切紧要。2.2.数据安全事件类型占比数据安全事件类型占比数据泄露6於数据加密+数据泄露21%数据加密数据损毁1数据篡改1%10%20%30%40%0%60%70%数据某改数据损毁数据加密数据加密+数据泄露数据泄露数据安全，件类型目前汇集了数据泄售、数据加密+数据泄骞、数据加密、数据损毁和数据篡改。数据加密÷数据泄IB表示数据安全事件所涉及数据既发生了泄SB,也被进行了加密处理。与其他数据安全事件类型相比，单纯的数据泄露类型具有显著高占比，占全年度所有数据安全事件的66%。兼有数据加密和数据泄M的安全事件，则占全年度所有数据安全事件的21%。自2022年起，本报告并没有将勒索攻击作为一种数据安全事件类型。主要是因为勒索并不是一种针对数据的行为，而且勒索并不能准确表达数据所面临的安全问题，勒索攻击的背后，可能是数据被加密，也可能是数据被泄露，或者二者皆有。因此，防勒索方案应该包含数据防泄露技术，从多个方面防止勒索事件的发生。数据损毁的比例偏低，与2022年相比并没有显著变化。主要是因为数据存储方面的建设过程中，对数据备份容灾等问是考Je得很充分，因此，这一类型的数据安全事件相对较少。次捷信息2023年度致掘泄态势分析触2.3.数据泄事件动机占比不同的数据泄1»件背后，有不同的动机。以获利为目的的数据泄露事件占比超过期,这说明数据泄IW件，仍然是利益驱动。据观察发现，不法分子在窃取嵋后，可以通过售卖个人信息或知识产权则，也可以勒索受害者获得收入。据美国国土安全部在年度报告中表示，勒索软件攻击者仍然是美国的主要威胁，2023年上半年，勒索软件攻击者在全球勒索了至少4.491亿美元，并且有望迎来有史以来第二高利润的一年。根据COVeWare的数据，2023年上半年支付的赎金中位数为158,076美元，相当于约2,850名受害者，这是完全合理的。巨大的利益催生了更多的数据泄件。螂防泄露将是T系统工程，需要社会各界共同努力。参考售价（三）单条移动电话号码4.5信用卡号、CW、姓名和到期日20PayPaI账户数据5-1767社交媒体账户（FaCebOok、Twitter（Gmail、InStagram等）35-80商业应用的账号及登录凭据155-193被泄露的加密货币账户2300拥有100O多条评论的易趣账户QlOoo表1个人信息售价示例（摘自互联网）另外，接近15%的数据泄It事件属于窃密活动。这类数据泄Il事件同时具有长期性的特点。近年来多起APl攻击就属于此类型。7月份，中国地震监测中心遭受了一政府背景的境外黑例a织和不法分子发起的网络攻击，初步调查显示攻击源自美国。事实上，美军方在网络作战方面意识超前，美国网绪司令部在2022年连续发布了网珞战部队使命任务和住宰网络领域战略等一系列网络作战指南，苜次公开将公共基础设施等列为网络打击目标。同时，美国也拥有规模庞大的网络司令部，现在就有133支来自各军种的礴任务部队。在数据泄IW件中，获利的同时，也有表达立场主张的现象。2023年10月，巴载嘶坦激进组织哈马斯发动袭击后，持续不断的战争也导致网络空间升级，各种黑客活动分子和民族国家黑客在冲突中选边站队。据报道，在哈马斯发射第一枚火箭弹后不到一小时，“匿名苏丹”组织就对以色列发起了首次黑客攻击。该组织以紧急警报系统为目标，声称已关闭以色列的警报应用程序。以色列最大的英文日报侬路撒冷邮撷½为“匿名苏丹”组织的攻击目标。f8为CyberAV3ngers的亲哈马斯组织针对以色列独立系统运营商(NOga)电网组织，声称已破坏其网络并关闭其网站。该组织还针对以色列和巴勒斯坦领土最大的电力供应商以色列电力公司以及TRS电厂进行了网络攻击。2.4.数据泄It原因占比教庭泄露原因占比黑客攻击内部泄意II无据*SSII数横处舌不当三缺乏访问控制越权访问尾虫,效摄由就使用.设备失方05%10¼15Y2025303540«45«202碑的数据统计表明，导致数据泄r的原因中，内部人员和黑客攻击所占比例大致相当，黑客攻击的占比为39%,内部泄Jl占比为35%,22%是数据访问凭据泄露，10%是数据处置不当。数据泄露可能由一种或多种原因造成，因此其占比总和是大于100%的。黑客攻击包含了网络钓鱼、APT攻击、爬虫及融合了数据泄骞的勒索攻击。其中，勒索攻击尤为突出。在6月，全球最大的半导体制造公司台积电(TSMC)发布一份声明，表示遭到勒索软件团伙1.OCkBIt的网络攻击。该公司出现在勒索团伙的暗网受害者名单上，1.oCkBIt要求台积电为其被豳取据支付ToOo万美元赎金。并威胁称，如果台积电不支付赎金，他们将公开台积电的网络入口点、密码和其他机密信息。这将对台积电本身及其就要客户如苹果、高通和英伟达造成严加或胁。这一则说明，相关组织机构在要数据防护方面仍需要进一步提升内部安全意识。内部泄漏即内部人员导致的数据泄露，主要指内部人员完全主导，或者数据泄Il关健环节有内部人员参与的安全事件。据TeCherUnCh报道，特斯拉在5月份发生的大规模数据泄H,已确定由两名前员工负责，泄露的数据包括超过乃,000名员工的个人身份信Ao糊W拉的数据糖私官ElentUkh将此次违规行为报告为“内部不当行为”，并声称：'臂查显示，两名前镯辎员工盗用了这些信息，违反了糊辎的11安全和数据保护政策，并将其分享给媒体数据访问凭据泄密&组织机构的数据访问账号、口令、证书等信息被泄Ito不法分子能就通过这些访问凭据在未经授权的情况下访问数据。2023年初，美国国家安全委员会(NSC)的数字平台上遭受网络攻击并发生数据泄雷，公众可以访问暴露了数千个凭据的网络目录。在一长串泄it的证书中，有大约200稼公司和政府实体的员工，其中包括英砺油、波音、珈、媚SaK3½v这次泄骞对使用ZC服务的公司构成风险。泄It的凭据可能被用于凭据填充攻击，这些攻击试图凳录公司的互联网降工几如VPN门户、人力资源艇平台或公司电子邮件。数据处置不当主要是指对数据的保护措施偏离了最初的设定目标，例如访问策略配错误，甚至缺失，或者安全措施并未发挥作用。2023年11月，孟加拉国国家电信监测中心(NTMC)曝发生数据泄露。安全人员发现，国家情报平台的数据库很可能是由于配置错误而遭到暴露。数据库中有120多个数据索引，每个索引存储不同的日志。这些索引包括IiM电谭、Iw、“出生幽？、绰犯名单搜索"、uns豚和IW等项目。其中一些文件包含条目较少，而其他文件条目多涉R万条。2.5.数据泄骞的数据源占比数据池重源占比统计数据中，仍有少部分数据泄Il事件无法确定数据源类型。在已知数据源的数据泄11事件中，RediS占比最甑超过30九McmgoDB和EIaStiCSearCh数据库的占比分别为28%和21%,其余为SQ1.和S3类数据库。随着企业业务上云的普及，以及SaaS行业的日益发展，越来越多的数据存储在云端。企业的数据不再受做的网络边界保护，这使劄S据泄露的风险则I。据分析，Redis是T开源内存数据结构存储，可用作数据库、缓存或消息代理。默认情况下，它未经身份验证，应迪闭且安全的网络中运行。然而，当用户安装不当时，它就会暴H在互联网上并成为威胁行为者的目标。使用MongoDB的泄It同样是因为安全配的问题。默认情况下，MOngODB不需要用户身份验证。如果启动MOngODB服务时不配套我则访问MongoDB数据库不需要用户认证。用户可以通过默认端口以免密码方式对MOngoDBft据库进行操作。这些操作包括插入、删除、修改或查询数据的高风险操作。用户还可以远程访）司数据库。2.6.泄再数据类型占比参考网络安全标准实践指南一网络数据分类分级指引，个人信息可细分为个人基本信息、个人身份信息、身份鉴别信息和网络身份标识信息等子类。泄露数兆类型占比个人草本信息UUWI.个人身物信息IIII网纽身饰轿识信息I身彷饕别信息业务教跟三三个人通信信息一个人健康生理信息个人财产信息,其它-0IOX2030h40h506070»8090在所有数据泄IWl件中，泄H数据包含个人基本信息的占比超过80%居首位。个人*三8ft三R自iu<三、工伽、½证、社保卡、局!证、港澳等证f转码、证件都蝴、证佛陪或影册悟，在一次数据泄“件中TftW个人基本信息同时出现，因此具有近似M占比。网络身份标识信息指标识网络或通信用户身份的信息及账户相关资料信息(金融账户除外),如用户账号、用户HX即时通信账号、飕社交用户账号、用户头像、瞬、个性签名、IP地址、账户开立时间等，在2023年泄翻»据类型中的占比超过50九BHHft普济的发展，网络身份标识信息和现实身份侑息的值要性将变得同等值要。身份鉴别侑息指用于身份螂糠据，如账户费录密码、银行卡密码、U三Yss口令、U盾联、三ff三ftT*值松、Jft¾Efiv据DARKReading*,2023年有7.75亿的用户名博码数据在黑市流动，并且有数千条广告，何竭捌涧SS能照谢JS务。业务信息泛指企业机构开展业务相关的信息，包括业务记录、合同、图纸、源代码和技术工艺等内容。业务信息在数据泄露事件中占比超过10%。在MlTREATT&CK框架中，侦察(ReCOnnalSSance)i栉是所有攻击行为的起点，共包含10种侦察技术。泄露的个人信息和系统信息则是其中8种侦察技术的目标，也就是说，一次网络攻击所需要侦察的信息，80%可以从泄露的数据中获取。2. 7.数据泄露人员类型占比内配人员数据泄毒人员类型占比外部人员合作仅任组织窃密政而支持每一个®说泄露事件背后，都是有实际操作人员的。统计发现，内部人员导致的数据泄露事件占比接近60%,与2022年相比，变化不大。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中，内部人员受利益驱动泄It数据，或者被外部人员欺骑泄骞，或者对企业有不满情绪而泄露。失误造成的泄密翘!中，由于安全意识或者流程的问题，造成安全厕配量错误，例如访问权雌制失、安全管控耐度粗放、账凭据丢失等。外部人员造成的数据泄It超过40%。外部人员除黑客外，还包括组织机构的服务外包及供应链等合作方员工。黑客通常采用钓鱼、SQ1.注入、恶意代码、社会工程等方式窃取数据，也会通过扫描网络，搜索任何人都可以访问的数据库并好获得数据。组织机构的合作方员工则由于熟砌澳，但又常懵不在监管范之内，对机构的数据造成很大威胁。合作伙伴导致数据泄It的占比在2023年有所下降，低于30%。合作伙伴导致的泄Il一般发生在提供运维服务、业务外包和供应链等场合。例如2023年底，加拿大政府的两家搬凉股务承包商遭到黑客攻击，由于加拿大政府雇员信息存储在两家承包商的系统中，导致数不明的政府雇员敏感侑息泄II。因此在选择合作伙伴时，除了管理制度上的措施外，还应评估合作方在斜i嘴据安全方面的资质和能力。有组织的窃密达到数据泄露事件的26%。组织化窃密可以分为官方组织和非官方组织。据安全IfiS杂志披£2023年危险的黑颦&织依次是1.OCkBit、1.azarus、ContuHiVe和BlaCkBastaOAkamal2023年的一份研究报告表明，1.ockBi麋响的勒索软件场景，占勒索软件受害者总数的39%（1,091名受害者）,是排名第二的勒索软件团伙数的三倍多。由政府支持的窃取数据行为，通常与APT攻击关联，由于潜伏期长，不易发现，因此占比较低。2.8. 数据泄露各阶段占比致交延密各阶段占比采隹-传输存储iIIIII使用II交换销毁-Oh1»20¼3O40%50607W数据泄H可以发生在其生命周期中的任何一个阶段。据统计，202昨数据泄露发生在存储阶段的占比依然高，超过60K与2022年相比有所上升。针对存储阶段的数据安全昉护要，其他阶段的数据安全也需要给予同样的就视。使用阶段的数据泄It占比超过15%,仅次于存储阶段，也属于数据泄It的高风险阶段。数据在使用阶段的泄访式包括扁冠(ShoUldersurfing).掠读(Skim)、拍照、截屏和打印等。使用阶段泄的数据比存储阶段泄Ji的少，但是发生得常频繁。交换阶段的数据泄露占比为10%。说明与合作伙伴进行数据共享交换，也容易发生数据泄露。内捷信息ie<A2.9. 个人信息泄露行业占比个人信息池需行业占比II明，I运苻育互联网一H行-能源制过业交通运翰后IOSk1O13b20%2S30个人信息泄骞严重的是金融行业，占比超过25%。保险和金融部门由于其持有高嫩据而成为最常见的目标。泄Il的原因除了外部攻击，还包括缺乏访问控制、m殷权访问、数据库配错误、"内和樨!洞。3011月，美国T保险机梅Inb现某些员工电子邮件账户遭遇未授权访问，HHbITO说，该事件题!沫经授权的一方能够访问消费者的敏感信息，其中包括他们的姓名和社会安全号码。医疗行业的个人信息泄事占比接近20%。这说明医疗行业的个人信息仍然保持着巨大的吸引力.2023年6月，印度OwlI尸19疫苗搦慢记的中央平台发生JR据泄露。据外媒报道，在泄Il的数据库中能够轻易地免费获取几乎所有接种了CoVid49疫苗的印度公民的个人详细信息，连印度政治领柚也未能幸免。政府行业的个人信息泄It占比为15%,也属于个人信息泄霹的重点行业，主要是因为政府行业数据丰且真实。2023年7月，挪威政府1皓称，黑客利用第三方软件的零日漏洞发动网络攻击，12个部委使用的信息通信技术平台受到影响。运营商行业同样是个人信息泄露事件高发行业，2023年占比为10%,与2022年持平。2023年10月，日本最大通信网络运营商MTWEST球子公司宣布，Ti负费格维护的前外包临时工非法获取了约900万条用户信息，并将部分信息发给其他公司，其中包括用户姓名、地址、电话号码以及信用卡信息等。2.10.个人信息泄需维度占比个人信息包含了很多维度的个人相关数据。在泄It的个人信息中，姓名出现在88%的个人信息泄IWr件中，其次是电话号码和电子邮件，泄Ii的占比均超过60%第四位是登录凭据，泄占比接近潮,排在第四位。个人信息的泄H,会通过地下市场流向黑灰产业。电话号码会被利用进行电信诈骗或者广告强扰，BIBn地址也会被用来发送钓鱼邮件、恶意软件，或者各种法广告，对社会造成二次危害。为方便分析泄It的个人信息与成本之间的关系，目前提出了数据点(dataPOint)的ffioft»SWb人鹤三MTWWh用性、蝌、电i¾'hIP硼、城市、国家等。据SUrfShark的研究显示，2020年至2023年间，美国平均每人被盗数据点为32个，S第一，后面依次是俄国、法国、82.11.个人信息泄It严凝程度占比个人信息泄露严重程度占比严重危害高等危害中等危害低等危害未知个人信息泄寡所引起的危害严值程度是不一样的，本报告会试对每一起个人信息泄雷事件进行危险等评估，这育助于受害者选择不同级别的晌应措施.本报告根据所泄行个人信息的分类和分皴信息，以及泄数据影响的人员数量，对个人值息泄骞事件进行危险等级评估，将个人值息泄露事件的危险等级分为四等，分别是低等危害、中等危h高等危杳和FMK危害.根据统计分析，在2023所有数据泄骞件中，具有低等危害的泄露事件为18乐中等危害的泄，件达到17%,高等危害的泄，件为36%,产就危害的泄雷，件为21%.8%的泄事件由于缺乏泄霄的数据内容、规模、影响人数等信息，无法做出对应的评估。典型案例回顾24.数据泄露原因占比MOVEIt是ProgressSoftware公司旗下的一款文件传输软件。许多公立的和私营的企业组织都使用该程序来移动敏感的个人数据。其中包括金IMR务公司、政府机构、养老基金等。202/5月，一个名为C1.oP的黑客组织获得了MOVEIt的访问权限，犯罪分子利用了MoVEIt应用程序中的漏洞。许多其供应链使用MOVEIt应用程序的组织因此意受了数据泄售，客户和/或员工数据被盗。如上图所示，MOVElt软件泄露数据的过程主要分为三步：1、利用CVE-2023-34362漏洞投放human2.aspx作为WebShe11;2、通过WebSheH在目标主机上执行命令；3、将数据从受控主机外发到C2服务器。CVE-2023-34362是一个SQ1.注入漏洞，可以使攻击者完全控制MoVElt安装。通过此级别的访问，攻击者可以更改或窃取数据、安装VVCbShen等恶意软件和/或更改服务器的配置（包括创建新账号或编辑现有账号）等行动。ProgressSOftware已在5月底发布了第一个升级包来修补该漏洞，并在6月初相继发布了两个升皴包来修正新的问题。根据Emslsoft的统计，已有2,000多个组织报告受到攻击，数据盗窃影响了超过6,200万人，绝大多数攻击是针对美国实体的.安大略省政府出生登记处于6月首次报告遭到攻击，该机构透露，2010年1月至2023年5月期间安大略省新生儿和孕妇的数据被盗，影响了约340万人。3.2.人工智能造成的数据泄露2023年3月份，OPenAl下线了ChatGPT,解释称FF源组件中存在该错误允许某些用户查看其他活跃用户的聊天历史记录中的标题。如果两个用户大约在同一时间处于活动状态，则新创建的对话的第一条消息也可能在其他人的聊天历史记录中可见。经过技术团队深入的调查发现，同样的错误可能导致12%的Chat好TPlus订户在特定的9小时窗口内活跃吐其支付相关的信息处于无意的可见状态。在让ChatGPT高线之前的几个小时内，T用户有可能着到另TS跃用户的名字和姓氏、电子邮件地址、付款地址、信用卡类型、信用卡号的最后四位改字和信用卡到期日期。OPenAI也强调，完整的信用卡号码在任何时候都没有被泄II。根据OPenAl官方的解释，导致泄露问题的错误是在RediSS户端开源库redispy中发现的。ChatGyT使用RediS在服务器中缓存用户信息，因此系统不需要为每个请求查询Ifc据库。为了支撑全球业务，OpenAl使用RediS集群将此负载分布到多个RediS实例上。PythOn服务器以异步的方式，使fflredlspy库与RedIS进行交互。redispy库会维护服务器和集群之间的共享连接池，并在完成后回收连接以用于另一个请求。异步工作时，redis-py的请求和响应椒8为两个队列：调用者将请求推送到传入队列，并从传出队列中弹出响应，然后W朝返0到池中。如果在将请求推送到传入队列之后、但在从传出队列中弹出响应之前取消请求，这个错误就会出现，潮咽此损坏，请求和响应的对应次序被打乱，球会为下ffi应提供一个不相关请求的数据。在大多数情况下，这会导致不可恢复的服务器错误，用户将不得不再次尝试其请求。但在某些情况下，损坏的数据恰好与请求者期望的数据类型匹配，因此从缓存返回的内容一起来是有效的，即使它属于另一个用户。该错误仅出现在RediSCIUSter的redlspy客户端中，现已修复。ChatGPT团队添加了冗余检查，以确保RediS缓存返回的数据与请求用户匹配。以编程方式检查我们的日志，以确保所有消息仅可供正确的用户使用，并关联多个数据源以准确识别受影响的用户，sa三<>总结供应链安全风险凸显。在分工更加细化的全球化时代，全球供应链的复杂性和互联性日益增加，以及数字生态系统攻击面的迅速扩大和更多潜在漏洞，为攻击者瞄准这一目标提供了更大的动力。一次成功的攻击可以带来巨大的财务或信息收益。风险监漓能力不足。企业缺乏全面的风险评估和监测机制，无法及时发现并预防各类数据泄露、破坏等安全威胁，导致敏感数据和核心业务系统面临巨大风险。在多数情况下，数据泄露事件被公众知晓是滞后的。数据到了攻击者手中，甚至开始地下交易，或者开始造成不良后果，才引起了数据处理者的关注。未能在发生数据泄露前及时识别风险，那就更谈不上采取应急措施减少损失。个人信息泄It严重。个人信息的泄露，会对企业和个人造成损失，也为以后的数据泄露提供了便利。个人信息富含社会关系、访问凭据、健康和资产信息，包含了主体可以被进一步利用的数据，既可以在地下黑市交易，也可以为下一次攻击提供丰富的情报。越来越频繁的个人信息泄露，为社会的不安定埋下了隐患。勒索攻击常态化。勒索攻击已经开始向RaaS（勒索软件作为服务）模式转变。其中最有代表性的当数NetWalker勒索软件。RaaS模式降低了勒索攻击的技术门槛，使得攻击者不需要具备编码和网络渗透技术，只需要购买勒索攻击的服务，即可执行高度复杂的勒索攻击。这为越来越多的犯罪分子提供了便利，也意味着未来会有更多的勒索攻击事件。员工依然是安全防护的薄弱点。除了员工恶意地实施数据泄露之外，还有相当比例的数据泄露与员工的疏忽和安全意识不足有关。一方面，人为错误直接暴露信息，另一方面，无法准确地辨识威胁使得社会工程和各种钓鱼攻击能够得逞。泄露的信息又增强了下一次攻击的欺骗性，这是一个恶性循环。建议数据安全是国家“+四五"数字经济发展规划能够贯物执行的值要保电三三者需要依法依规加强数据安全保护，做好数据的安全例h依法依规做好网络安全审查、云计算照务安全评估等，有效防范国家安全风险；进一步强化个人信息保护，规范身份值息、隐私信息、生物特征信息的采氟传输和使用，加强对收集使用个人信息的安全监管能力。如何合理地建设自身的数据安全能力，以较少的投入发挥出最大的价值，本报告给出了如下几点建议：5.1.加强对合作伙伴的安全能力评估建立合作伙伴的评估机制和标准体系。首先要明确数据安全的年赃求和风险承受能力，然后通过审计合作伙伴的安全政策、技术措施、人员素质等多个维度，结合实地检查、渗透滁£、案例评审等手段，全面考查合作伙伴在访问控制、加密传输、数据备份、漏洞修复、应急响应等方面的能力表现，识别其在数据全生命周期各环节可能存在的风险MUft.并提出整改建议，持续监督改进，以确保合作伙伴能第满足企业对数据安全合规性、僦求。5.2.建设数据分类分级保护能力数据分类分级保护是数据安全治理的基础，也是我国Gft据安全法中明确提出的要求。建设组织的数据分类分级保护能力，首先，需要依据数据的敏感程度、值要性和相关法规要求，制定数据分类分级标准和规范。其次，针对不同级别数据，采取差异化的安全保护措施，如核心数据采取更严格的访问控制、加密、备份等技术手段，同时加强人员管控；要求保护即可。再者，建立数据全生命周期V理喇从数据棘、传输、存储、使用到«殿各环节，落实相应的安全技术及触斜度。5.3.开展全链路数据流转风险监控数据安全风险越早发现，其造成的损失就会越小。在技术层面，部翱解流转监控类软件，对数据在各个礴和应用之间的传输进行全链路监控和审计，实时捕获异懵行为，如未经授权访问、数据篡改或泄Il等风险事件。同时，配备数据防泄漏、数据脱敏等保护手段，最大限度降低数据在流转过程中的风险。此外，还需投入数据分类标记、数据剩余分析等数据安全分析技术，对已有IS据资产酬全面分析和评估，识别潜在风险点。在1耀层面，需要制定完善的数据流转策略和管控加H,明确各环节的操作规范、风险审查流程以及人员权费分工。定期开展数据安全风险评估，及时发期洞并及时整改。另外，加强数据安全意识培训，提升员工风险防范意识和能力。同时，建立数据流转事件tss.三mm-三±wft,«、ta三三三5.4.加强企业云上数据防护制定全面的云安全财和管理制度，明确云上数据分类分级要求、访问权限控制、加密存储/传输等规范。其次，在云平台上部Ilf化的数据安全防护体系，包括入侵防御、漏洞扫描、数据防泄漏、访问审计等多通防护手段，实现风险的全方位牌痢防御。此外，需加强与云服务商的合作，及时获取云平台的安全更新，并对其安全能力进行严格审核评估。同时，开展定期的云上费S安全检查和应急演练，提高风险发现和应急响应能力。引进先进的云安全产品和服务，并建设专业的云安全运维团队。与此同时，加强员工安全意识培训，提升整体防护能力。只有细舞兼顾技术、牌、人员等各方面，才皖正构筑企业云上数据的安全防线。5.5.建立数据安全运营能力通过建设流程和制度，保障企业组织的数据安全能力持续发挥作用并不断优化。定期培训和宣贯数据安全技能，提升员工辨识钓鱼攻击的能力。对安全产品进行预防性维护，大限度地提高现有安全工具和措施的有效性，例如安全产品补丁和升级，更新白名单、黑名单以及安全期航定期进行脆弱性评估，任何配的变更都要进行评估礴证。建立安全事件响应机制，定期演练。事后有分析和优化的流程。为防止再次发生，从事件中获取新情报，来更好地解决漏洞、更新流程和政策、选择新的安全工具或修改事件响应计划。通过建设数据安全运营平台，集成数据资产1犍、数据安全设备纳管、数据安全风险态势感知、数据安全运营等能力，为日常数据安全运营提供更直观的呈现，以及数据安全风险的处环。