疑似45亿地址信息泄露事件跟进分析
2023-2-16 18:0:4 Author: 谈思实验室(查看原文) 阅读量:76 收藏

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

2月12日晚,在即时通讯软件Telegram上,某机器人爆出超45亿国内个人信息遭到泄露,数据包括真实姓名、电话、地址等信息,并公开了免费查询渠道。

该机器人管理员提供的navicat截图显示,数据量为4541420022条(45亿),数据库大小为435.35GB,数据量极为庞大。

其实,早在2023年2月7日,威胁猎人情报平台在聊天工具Telegram的频道“社工库-⚡️163⚡️”中,捕获到“45亿姓名地址库”的最新信息:

威胁猎人迅速关注到该事件并保持持续关注,经研究发现该频道于2021年4月28日创建,创建以来,长期未发布信息,直到2月7日凌晨开始发布信息。目前,此频道现已更名为“社工库2023频道⚡️星链⚡️”

「事件跟进时间线」

2021年4月28日,黑产创建Telegram频道“社工库-⚡️163⚡️”,并被威胁猎人情报平台纳入监测;

2023年2月7日01时10分,该频道发布第一条消息:“133”,疑似黑产开始进行测试;

2023年2月7日03时14分,该频道更名为“社工库2023频道⚡️星链⚡️”,并发布第二条信息:“更新45亿姓名地址库 最新”,被威胁猎人情报平台捕获;

2023年2月12日9时40分,黑产开始在多个Telegram数据售卖群发布广告,“45亿订单机器人”,并引起广泛关注;

2023年2月12日18时30分,该事件紧急度升级,威胁猎人情报研究员开始针对该事件进行分析和研判;

2023年2月12日23时,该社工机器人因访问量过大无法使用,同时出现大量冒充该机器人的其他黑产团伙;

2023年2月13日,该社工机器人在发布“请大家尝试使用2号机器人,1号机器人无法响应!!!”之后,没有再发布任何消息,而网络上开始出现“数据来源于某大型电商平台泄露”等多种声音;

2023年2月13日20时,威胁猎人情报研究员根据数据研判分析,得出初步结论。

事件分析验证

事件爆出后,威胁猎人情报研究员第一时间选取真实在用的手机号,对该事件进行了验证分析,发现:

1)查询的返回结果为姓名和地址信息,且信息正确,确定为真实的数据泄露事件,非虚假数据;

2)查询出来的地址信息,没有明显的平台聚集性,存在不同平台的收货地址;

3)查询出来的地址信息,包含历史数据和较新的数据,比如某个手机号三年前短期使用的地址与最新搬家后的地址,同时出现在了泄露的信息中;

4)同一个地址,以不同的形式出现了10次,有些精确到门牌号的地址,也因为一些细节字符的差异,出现了四次,且经过确认,该信息的主人明确没有在同一平台上同时留下这么多信息。

结合以上4点现象,可以初步推断:

此次泄露事件,大概率是由多个泄露源(包括历史泄露的库)提取姓名、地址拼接而成

数据泄露来源分析

要拼接出这样的数据,存在几种可能性:

1)泄露的数据包含手机号、姓名、地址;

2)泄露的数据A包含手机号、姓名+泄露的数据B包含手机号、地址;

3)泄露的数据A包含手机号、姓名+泄露的数据B包含姓名、地址(姓名会重名,因此这种可能性很小)。

实际上,数据泄露已然成为频发事件,个人信息泄露规模及后果令人触目惊心。仅在过去的2022年中,威胁猎人情报平台就监测到3218起验证有效的数据泄露事件,其中,捕获数据泄露事件最多的是物流行业,事件数量占比40.17%;其次是金融行业,事件数量占比37.68%;事件数量第三的行业为电商行业,事件数量占比为7.88%,数据泄露同样发生在政府、互联网、汽车、企业服务等行业。

对泄露的事件分析后,我们发现:

1)泄露的数据中,包含手机号、姓名、地址的有1200余起;

2)泄露的数据中,包含手机号、姓名的有1900余起;

3)泄露的数据中,包含手机号、地址的1700余起;

我们进一步对包含手机号、姓名、地址泄露信息的行业分布进行分析发现,和整体相差不大,依然是物流行业占比最高,达54%,电商行业占比7%

威胁猎人情报研究员对物流、电商行业进行分析后发现,这两个行业数据泄露的主要原因包括

1. “内鬼”违规获取,包括:面单拍摄、数据人为导出等

如下,威胁猎人数据资产泄露情报监测平台在2022年11月15日捕获到,国内某大型物流公司的用户快递面单信息数据遭到泄露,量级达每日上千条

泄露原因主要是快递站点工作人员进行面单拍摄,而后该人员在Telegram等交易平台,以每单4元的价格进行出售。

2.API遭到爬虫攻击导致的泄露,典型事件为国内某大型电商平台的11亿用户数据泄露

2021年6月,国内某大型电商平台用户ID、昵称、手机号以及用户评价等敏感信息数据遭到泄露,已有超11亿8千多万用户遭到影响

泄露主要原因是其电商平台API接口被爬虫攻击导致,黑产团伙通过批量添加微信好友进行营销推广,非法获利数万元。

3.商家和快递公司之间的云仓平台被植入木马、漏洞攻击等

2022年,国内某云仓被黑产团伙以应聘工作为由虚假入职,通过在其使用的工作电脑或面单打印机电脑上安装木马软件,对用户敏感信息数据进行窃取,并在数据交易市场上以单价3元进行售卖。

面对越来越多的API攻击和数据泄露风险,企业应从多个维度来构建防御体系,更需要基于风险情报来构建攻击检测模型,做到及早感知及时防御,从而保障企业及其用户的数据安全。

文章来源:威胁猎人Threat Hunter

码上报名

2023第六届无人驾驶及智能驾舱中国峰会,5月11-12日,上海

码上报名

AutoSec 7周年年会暨中国汽车网络安全与数据安全合规峰会,5月11-12日,上海

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。

扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

谈思实验室,为汽车科技赋能,推动产业创新发展!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247518756&idx=1&sn=44d5f896080cedde2ea0da8cb51656f8&chksm=e927ceffde5047e96469e88fb06d5a78fb7b7f9946814a389196453ed5b1246cf812fa8a67a0#rd
如有侵权请联系:admin#unsafe.sh