2目錄Contents 2 61.12024年上半年數據泄露事件共計16011起，較2023年下半年增長59.58% 61.2監測到非法數據交易黑產團伙1973個，較2023年下半年增長近一倍 81.3Telegram及暗網依舊活躍，在數據泄露渠道中占比高達95% 91.4銀行、電商、消費金融成為數據泄露事件數量Top3行業 121.52024年上半年泄露數據量達千萬級事件共9起 162.12024年上半年數據泄露字段分析：基礎字段占比65.7% 2.22024年上半年數據泄露人群畫像分析 3.12024年上半年出現多起利用Facetime詐騙活動，IOS字段相關風險事件1237起.273.22024年上半年數據泄露事件中，包含歷史數據的事件占30% 3.32024年上半年“查檔”信息事件共657起，事件數呈現快速上升趨勢 3.4利用“共享屏幕”詐騙的事件高發，2024年上半年監測共享屏幕遠程軟件達25種.31 3前言在快速崛起的數字經濟時代，數據作為企業的核心資產及重要戰略資源，在高速增長的同時，其背后的數據風險也在不斷攀升，日漸復雜的數據泄露形勢，已成為企業數字化發展賽道的嚴重阻礙。威脅獵人《2024年上半年數據泄露風險態勢報告》對2024年上半年數據資產泄露風險概況、黑產數據交易市場等進行具體分析，結合典型行業案例，多維度呈現2024年上半年國內數據泄露的態勢全景：1、2024年上半年全網監測并分析驗證有效的數據泄露事件16011起，較2023年下半年增長59.58%，共9539起；2、2024年上半年監測到3.4萬個黑產團伙中，經分析驗證涉及真實數據泄露事件的黑產團伙共計1973個，較2023年下半年增新增984個，增長近一倍。3、從行業分布來看，2024年上半年數據泄露事件涉及85個行業，數據泄露事件數量Top5行業分別為銀行、電商、消費金融、保險、快遞；4、從區域、年齡、性別等維度來看，2024年上半年數據泄露人群最多的區域分別是：浙江、四川、廣東；35-54歲占比最高達62%；女性占比最高達64%。5、針對黑產數據交易市場研究發現，2024年上半年利用Facetime詐騙活動增多，2024年上半年泄露的數據中包含“IOS”字段的相關風險事件高達1237起，較2023年下半年增加8倍。41、DRRC：威脅獵人成立深圳、重慶兩大DRRC數字風險應急響應中心，匯集30+安全運營專家，為企業提供7×24小時應急響應服務；2、真實性驗證引擎：通過不同文件類型的個人要素提取和比對，以及對圖片OCR結果中的要素進行提取及驗證，有效識別該圖片內容中是否含有偽造數據/歷史泄露數據；3、數據泄露情報：威脅獵人通過TG群、暗網等渠道捕獲到的“未授權個人/組織敏感信息被公開交易或使用”的情報信息，可能包含歷史數據、重復數據等，往往量級巨大；4、數據泄露事件：威脅獵人安全研究專家針對數據泄露情報的樣例等進行分析及驗證，排除歷史虛假數據、確認有效的數據泄露事件；5、公民個人信息：指公民個人身份信息，包括但不限于姓名、身份證號碼、出生日期、手機號碼、家庭住址、銀行賬戶信息等；6、歷史個人信息：指此次數據泄露事件之前就已經泄露過的個人信息，很多歷史個人信息被黑產收集整合成社工庫；7、暗網：指隱藏的網絡，普通網民無法通過常規手段搜索訪問，需要使用一些特定的軟件、配置或者授權才能登錄；8、私域群：需通過邀請鏈接/管理員同意后才能進入的群組，一般外部人員無法監測或進入該群聊。9、歷史數據事件：黑產將泄露過的真實信息進行整合并再次用于交易的事件，通常黑產會對數據進行精細化處理，補充數據字段完整性，從而提升數據價值及盈利空間；10、虛假數據事件：黑產將偽造的虛假數據數據用于交易的事件。012024年上半年數據泄露風險概況6一、2024年上半年數據泄露風險概況據威脅獵人數據泄露風險監測平臺數據顯示，2024年上半年（1-6月）全網監測到的1.1億條情報中，基于真實性驗證引擎及DRRC人工分析驗證有效的數據泄露事件共計16011起，較2023年下半年增長59.58%，9539起。威脅獵人發現，在2024年2月數據泄露事件量出現大幅下降，較2024年1月下降36%（898起進一步分析了解到，主要有以下兩個方面所致：（1）從數據泄露源頭來看，第三方泄露、短信通道泄露等不同原因所引發的數據泄露事件量均在2024年2月出現下降的情況，可以看出主要是受到春節期間黑產放假帶來的交易行為放緩的影響。72024年上半年數據泄露的主要原因包括：黑客攻擊：外部黑客使用爬蟲、掃描、滲透等方式攻擊企業系統和網絡資產，利用企（2）從販賣數據（中間商）的黑產團伙數量來看，2024年2月非法數據交易黑產團伙數量出現下降。8威脅獵人針對非法數據交易團伙進行深入分析，2024年1月至6月監測到3.4萬個黑產團伙中，經分析驗證涉及真實數據泄露事件的黑產團伙共計1973個，較2023年下半年增新增984個，增長近一倍。針對非法數據交易黑產團伙Top10研究發現，2024年上半年各團伙關聯的數據泄露風險事件總量均高于2023年下半年，可見非法數據交易團伙的整體活躍度不斷上升、非法交易行為更加高頻，同時新的大型黑產團伙的不斷加入（如小富豪**、阿包**等使得黑產通過Telegaram進行非法數據交易的形勢更加嚴峻。92024年上半年威脅獵人監測到的數據泄露事件中，發生在Telegram及暗網的達95%以上，其中87%集中在Telegram。自2023年起，大多數黑產團伙開始轉向私域群進行交易，數據交易團伙也對自身的賬號信息進行匿名隱藏。Telegram渠道監測到風險事件最多的頻道/群聊為私域群，2024年上半年，威脅獵人在私域群累計發現超過1400起風險事件，較2023年下半年增長近2倍。私域群：需通過邀請鏈接/管理員同意后才能進入的群組，一般外部人員無法監測或進入該群聊，群組有管理員定期清洗群成員名單，一定程度上過濾了廣告、機器人、二道販子、中介等可信度較低的人員，群組內容質量更接近真實數據泄露源頭。2024年上半年Telegram“私域群”數量快速增長，黑產團伙在“私域群”中通過加密消息、暗號和私密聊天等方式與買家進行交流聯絡，使黑產非法交易更加難以被監管機構察覺。暗網平臺作為黑產非法數據交易的主流渠道之一，其平臺數量的快速增長也側面反映出暗網的活躍性持續提升，為黑產非法數據交易提供了更多新的隱蔽渠道。2024年上半年，威脅獵人在暗網渠道發現數據泄露事件累計1229起，共涉及73個網站（如spyhackerz、crakingx等較2023年下半年新增46個網站。威脅獵人基于數據泄露事件量最高的Top10暗網網站，共發現994起數據泄露事件，占捕獲暗網數據泄露事件總量的80%以上，主要集中在長安不夜城、breachforums以及cracked這幾大網站。從行業分布來看，2024年上半年數據泄露事件涉及85個行業，1524家企業，數據泄露事件數量Top5行業分別為銀行、電商、消費金融、保險、快遞。其中，銀行行業數據泄露事件數量高達2961起，成為數據泄露事件數最多的行業。2024年上半年TOP10行業排名變化情況如下：排名靠前的數據泄露行業中以金融、電商行業為主，金融行業的數據泄露事件主要體現在銀行、消費金融、保險等企業的客戶信息倒賣，通常被下游黑產團伙用于精準營銷及詐騙，因涉及大量高價值用戶數據，且靠近交易環節，成為了個人信息泄露的重災區。近年來線上購物發展更加火熱，據2024年3月發布的《中國互聯網絡發展狀況統計報告》顯示，截至2023年12月，我國網絡購物用戶規模達9.15億人，占網民整體的83.8%。線上購物的持續穩定增長下，電商平臺產生了海量購物訂單及物流信息，這些購物訂單及物流信息由于暴露面較大，成為了黑產團伙的重點目標，同樣被用于營銷或詐騙。同時，在公安部近期公布的“十大高發電信網絡詐騙類型”中，刷單返利、虛假網絡投資理財、虛假購物服務、冒充電商物流客服、虛假征信等10種常見的電信網絡詐騙類型發案占比近88.4%。其中刷單返利類詐騙是發案量最大和造成損失最多的詐騙類型，虛假網絡投資理財類詐騙的個案損失金額最大，虛假購物服務類詐騙發案量明顯上升，已位居第三位，而金融、電商類用戶群體正是此類詐騙案件的受害群體。威脅獵人在2024年上半年監測到泄露數據量達千萬級的事件共9起，其中最高泄露數據量達12億，經過威脅獵人多次深入分析驗證發現，該事件泄露數據主要由發布者整合拼接而成（基于此前發生的多起國內大型數據泄露事件并非近期泄露數據。泄露的數據信息中主要以公民個人信息三要素（姓名、手機號、身份證）為主，其次是網購長安不夜城、cc2crd等知名暗網，以及Telegram匿名群聊。022024年上半年數據泄露二、2024年上半年數據泄露字段及人群畫像分析威脅獵人針對泄露字段調研統計發現，數據泄露字段主要包含基礎字段、業務字段、黑產定義字段等類型，基礎字段占比最高，達65.7%，基礎字段中姓名、手機號、身份證號占比最高。泄露數據價值與其所包含的具體字段密切相關，下游黑產可通過“全格式”數據字段構建完整的公民畫像，進行定向性作惡，使整體作惡成功率及收益更高?！叭袷健睌祿呛诋a描述數據所包含字段格式的專業通用型詞匯，通常指包含身份證、姓名、手機號等基礎字段信息，加上不同行業相關的業務字段信息，以保險行業為例，保險行業全格式信息通常包括身份證、姓名、手機號、投保金額、保險類型等?；A字段：主要指個人基礎信息，包括姓名、手機號、身份證號、銀行卡號、地理位置、詳細地址等；業務字段：主要指業務相關信息，包括平臺名稱、保險類型、品牌、快遞單號、航空公司、航班號等；黑產定義字段：主要指黑產團伙數據清洗后定義的字段，如：驗證ID、設備信息（IOS/安卓）、所屬運營商等（驗證ID主要是黑產對數據進行標記，防止被二次販賣）；威脅獵人針對泄露字段調研統計發現，數據泄露字段主要包含基礎字段、業務字段、黑產定義字段等類型，基礎字段占比最高，達65.7%，手機號作為重要基礎數據字段之一，是黑產作惡的不可或缺的數據資源，頻繁被下游營銷/詐騙團伙用于對相關手機號發送短信、電話營銷等，進一步實施非法作惡行為。2024年1-6月公民信息泄露事件超過15000起，其中泄露信息字段包含“手機號”的超過86%。威脅獵人安全運營人員調查了解到，部分上游黑產團伙因技術手段受限，僅能獲取到“手機號”字段，黑產團伙會通過多種方法拼接個人信息、補齊數據字段信息，從而提高數據的價值。經統計分析，泄露的業務字段中"銀行"行業占比最高，進一步分析發現，銀行行業泄露的數據中出現頻率最高的業務字段信息為“銀行卡號”，在銀行行業所有業務字段中出現占比達57.08%。銀行數據出現頻率TOP3業務字段如下：2.1.3黑產自定義字段中，2024年1月首次出現“低頻騷擾”、“驗證ID”威脅獵人針對泄露的數據中進行分析發現，2024年1月黑產自定義的字段中首次出現“低頻騷擾”、“驗證ID”等字段，針對相關字段研究分析發現：①黑產通過對數據“低頻過濾清洗”提升詐騙成功率，相關事件累計發現52起威脅獵人發現自2024年1月起，泄露的數據字段開始高頻出現“低頻騷擾年上半年共發現52起該類型的風險事件。（低頻數據樣例形式）威脅獵人與發布相關數據的黑產進一步溝通了解到，黑產將此類數據定義為低頻騷擾數據，“低頻過濾清洗”主要指數據售賣方在對數據篩選時，會對普通用戶手機號的騷擾頻率進行分析，從而過濾篩選出低騷擾率的用戶手機號，即平時接收到騷擾電話的情況較少，對陌生電話的接聽抗拒程度較低的用戶手機號。針對這類手機號，作惡團伙可以在進行營銷推廣或詐騙時，實現更高的用戶接聽率，可以更好地套取到用戶的信任從而進行精準推廣，極大提升詐騙成功率。②黑產通過“驗證ID”標識校驗定位可信度更高的數據源，相關事件累計發現37起2024年1月，威脅獵人在泄露的數據字段中發現“驗證ID”字段高頻出現，2024年上半年共發現37起該類型的風險事件。（驗證ID字段類數據）深入調研發現，“驗證ID”實際上是非法數據交易黑產團伙為了驗證數據是否真實，同時防止數據被中介二次販賣而制作的標識，下游購買數據的團伙可通過其提供的數據驗證系統校驗數據是否真實。非法數據交易市場中數據二次售賣、多次售賣的情況屢見不鮮。威脅獵人調研發現，平均同一份數據樣例就有至少2個黑產團伙進行售賣，同一份數據樣例最多被433個黑產團伙進行售賣。黑產交易市場新舊真假數據魚龍混雜，ID驗證的方式在一定程度上幫助下游購買數據的黑產團伙有效尋找到可信度更高的數據。（驗證ID字段黑產解釋情況）威脅獵人針對全行業數據泄露人群相關信息進行分析，從所在區域維度來看，數據泄露人群數量最多TOP3區域分別是：浙江、四川、廣東。各年齡階段分布定義（供參考）：未成年人：18歲以下青年階段：18-34歲中年階段：35-54歲老年階段：55歲以上（退休年齡）①銀行數據泄露人員畫像威脅獵人針對銀行數據泄露人群相關信息進行分析，數據泄露人群最多的區域分別是：廣東、四川、江蘇、安徽、河南。泄露人群年齡主要在35-54歲，占數據泄露人群中61.78%，女性占66.42%。②電商數據泄露人員畫像威脅獵人針對電商數據泄露人群相關信息進行分析，數據泄露人群最多的區域分別是：浙江、四川、福建、江蘇、陜西。泄露人群年齡主要在35-54歲，占電商數據泄露人群中65.98%，女性占68.25%。③消費金融數據泄露人員畫像威脅獵人針對消費金融數據泄露人群相關信息進行分析，數據泄露人群最多的區域分別是：浙江、安徽、江西、四川、陜西。泄露人群年齡主要在35-54歲，占消費金融數據泄露人群中57.71%，女性占52.46%。032024年上半年黑產數據三、2024年上半年黑產數據交易市場相關研究威脅獵人安全研究員發現2024年上半年泄露的數據中，“設備信息”字段信息出現頻率逐漸增多，尤其是“IOS”類數據字段，從數販賣黑產團伙與下游數據購買者的聊天記錄來看，下數據購買者對于數據的復購要求中多次提及“IOS”設備數據的篩選要求。（威脅獵人捕獲的泄露數據中包含設備信息）（下游作惡團伙以及數據售賣方反饋需過IOS、FT等要求）威脅獵人統計發現，2024年上半年泄露的數據中包含“IOS”字段的相關風險事件高達1237起，較2023年下半年增加8倍。隨著國家公安機關對傳統電話詐騙的打擊加大、運營商監管加強，而Facetime日漸普及，不法分子開始盯上Facetime通話功能，試圖通過這一功能實施詐騙活動。“IOS”類數據字段的大幅增加，以及黑產溝通驗證，進一步佐證了利用Facetime進行詐騙的現狀使得上游數據清洗產業鏈發展更加猖獗。自2024年起，威脅獵人發現不少詐騙分子冒充“金融平臺客服”、“國家征信中心工作人員”等身份，使用FaceTime功能向蘋果手機用戶發起通話，以“開通百萬醫療保險需要關閉”、“有未結清的貸款需要處理”等為由進行詐騙，告知手機用戶如不取消會被強制扣款，或個人征信受損，從而誘騙手機用戶將相關款項轉移至指定賬戶，給受害者帶來巨額損失。歷史數據事件：威脅獵人通過與過往泄露數據的匹配驗證，識別出黑產發布數據樣本中包含舊數據的事件；虛假數據事件：威脅獵人對數據樣例中所包含的三要素進行匹配驗證，識別黑產偽造的虛假數據的事件；威脅獵人基于數據真實性驗證引擎的優化，有效識別樣本數據泄露事件中包含歷史數據的事件數占比，經抽樣分析發現2024年上半年黑產交易市場中30.60%數據泄露事件包含歷史數據，即10次非法數據交易就有3次是歷史數據售賣，較2023年下半年上漲15.93%?？梢姡瑪祿灰资袌鲋兄T多黑產多次通過售賣歷史數據、偽造數據、拼接數據等方式進行牟利的行為更為嚴峻。黑產在Telegram等渠道社工查檔的事件屢見不鮮，例如通過一個手機號，就可以查詢這個手機號相關的所有身份信息，如地址、銀行卡號、名下資產等等。查檔：指提供對指定人員信息的資料檔案進行調查或相關數據提取服務?？爝f業務（快遞地址、物流信息）、個人信息（婚姻、戶籍、社保）等。在2024年上半年發現的數據泄露事件中，威脅獵人累計發現657起“查檔”信息泄露事件，占整體數據泄露事件的4.10%。從每月變化趨勢來看，查檔類的相關風險事件數呈上升趨勢，相關黑產團伙數量也不斷增加。一定程度上反映出通過查檔進行非法收益的形式更加普遍，背后收益更加可觀。2024年上半年，利用“共享屏幕”詐騙的事件頻繁發生，詐騙分子通過一些非法渠道獲取乘客個人信息、航班信息，冒充航空公司工作人員，通過短信或電話的方式通知航班延誤或取消。通過一些特定的話術，以“退費”“理賠”等理由引導受害人下載具有屏幕共享功能的App，再通過屏幕共享狀態下獲取的用戶信息實施詐騙，具體流程如下：舉一個真實的案例：李某接到陌生來電，冒充某航空公司的“客服”告知其航班需要改簽同時會進行相關賠償，要求李某點擊某線上會議鏈接開啟屏幕共享，由于對方能準確說出自己的航班信息，李某信以為真，按照其要求進行了屏幕共享的操作。此時詐騙者利用該功能趁機獲取李某個人信息，并以進行身份認證、解綁銀行卡為由，要求李某提供自己的銀行卡號、密碼、手機驗證碼等信息，并進行人臉識別，最終李某銀行卡里的30000元被對方全部轉走。進一步研究發現，利用“屏幕共享”的詐騙手法層出不窮，“共享屏幕”遠程軟件快速更新，據威脅獵人風險情報平臺數據統計，僅在2024年上半年就發現了25種被黑產惡意利用的“共享屏幕”遠程軟件，如常見的“暢聯云”、“Vymeet”等等。04結語四、結語從2024年上半年數據泄露風險現狀來看，企業需要重點關注以下問題：2024年上半年（1-6月）全網監測并驗證有效的數據泄露事件共計16011起，較