疑似45億地址信息泄露事件跟進分析

2月12日晚，在即時通訊軟件Telegram上，某機器人爆出超45億國內個人信息遭到泄露，數據包括真實姓名、電話、地址等信息，并公開了免費查詢渠道。

該機器人管理員提供的navicat截圖顯示，數據量為4541420022條（45億），數據庫大小為435.35GB，數據量極為龐大。

其實，早在2023年2月7日，威脅獵人情報平臺在聊天工具Telegram的頻道“社工庫-??163??”中，捕獲到“45億姓名地址庫”的最新信息：

威脅獵人迅速關注到該事件并保持持續關注，經研究發現該頻道于2021年4月28日創建，創建以來，長期未發布信息，直到2月7日凌晨開始發布信息。目前，此頻道現已更名為“社工庫2023頻道??星鏈??”。

「事件跟進時間線」

2021年4月28日，黑產創建Telegram頻道“社工庫-??163??”，并被威脅獵人情報平臺納入監測；

2023年2月7日01時10分，該頻道發布第一條消息：“133”，疑似黑產開始進行測試；

2023年2月7日03時14分，該頻道更名為“社工庫2023頻道??星鏈??”，并發布第二條信息：“更新45億姓名地址庫 最新”，被威脅獵人情報平臺捕獲；

2023年2月12日9時40分，黑產開始在多個Telegram數據售賣群發布廣告，“45億訂單機器人”，并引起廣泛關注；

2023年2月12日18時30分，該事件緊急度升級，威脅獵人情報研究員開始針對該事件進行分析和研判；

2023年2月12日23時，該社工機器人因訪問量過大無法使用，同時出現大量冒充該機器人的其他黑產團伙；

2023年2月13日，該社工機器人在發布“請大家嘗試使用2號機器人，1號機器人無法響應！！！”之后，沒有再發布任何消息，而網絡上開始出現“數據來源于某大型電商平臺泄露”等多種聲音；

2023年2月13日20時，威脅獵人情報研究員根據數據研判分析，得出初步結論。

事件分析驗證

事件爆出后，威脅獵人情報研究員第一時間選取真實在用的手機號，對該事件進行了驗證分析，發現：

1）查詢的返回結果為姓名和地址信息，且信息正確，確定為真實的數據泄露事件，非虛假數據；

2）查詢出來的地址信息，沒有明顯的平臺聚集性，存在不同平臺的收貨地址；

3）查詢出來的地址信息，包含歷史數據和較新的數據，比如某個手機號三年前短期使用的地址與最新搬家后的地址，同時出現在了泄露的信息中；

4）同一個地址，以不同的形式出現了10次，有些精確到門牌號的地址，也因為一些細節字符的差異，出現了四次，且經過確認，該信息的主人明確沒有在同一平臺上同時留下這么多信息。

結合以上4點現象，可以初步推斷：

此次泄露事件，大概率是由多個泄露源（包括歷史泄露的庫）提取姓名、地址拼接而成。

數據泄露來源分析

要拼接出這樣的數據，存在幾種可能性：

1）泄露的數據包含手機號、姓名、地址；

2）泄露的數據A包含手機號、姓名+泄露的數據B包含手機號、地址；

3）泄露的數據A包含手機號、姓名+泄露的數據B包含姓名、地址（姓名會重名，因此這種可能性很小）。

實際上，數據泄露已然成為頻發事件，個人信息泄露規模及后果令人觸目驚心。僅在過去的2022年中，威脅獵人情報平臺就監測到3218起驗證有效的數據泄露事件，其中，捕獲數據泄露事件最多的是物流行業，事件數量占比40.17%；其次是金融行業，事件數量占比37.68%；事件數量第三的行業為電商行業，事件數量占比為7.88%，數據泄露同樣發生在政府、互聯網、汽車、企業服務等行業。

對泄露的事件分析后，我們發現：

1）泄露的數據中，包含手機號、姓名、地址的有1200余起；

2）泄露的數據中，包含手機號、姓名的有1900余起；

3）泄露的數據中，包含手機號、地址的1700余起；

我們進一步對包含手機號、姓名、地址泄露信息的行業分布進行分析發現，和整體相差不大，依然是物流行業占比最高，達54%，電商行業占比7%。

威脅獵人情報研究員對物流、電商行業進行分析后發現，這兩個行業數據泄露的主要原因包括：

1. “內鬼”違規獲取，包括：面單拍攝、數據人為導出等

如下，威脅獵人數據資產泄露情報監測平臺在2022年11月15日捕獲到，國內某大型物流公司的用戶快遞面單信息數據遭到泄露，量級達每日上千條。

泄露原因主要是快遞站點工作人員進行面單拍攝，而后該人員在Telegram等交易平臺，以每單4元的價格進行出售。

2.API遭到爬蟲攻擊導致的泄露，典型事件為國內某大型電商平臺的11億用戶數據泄露

2021年6月，國內某大型電商平臺用戶ID、昵稱、手機號以及用戶評價等敏感信息數據遭到泄露，已有超11億8千多萬用戶遭到影響。

泄露主要原因是其電商平臺API接口被爬蟲攻擊導致，黑產團伙通過批量添加微信好友進行營銷推廣，非法獲利數萬元。

3.商家和快遞公司之間的云倉平臺被植入木馬、漏洞攻擊等

2022年，國內某云倉被黑產團伙以應聘工作為由虛假入職，通過在其使用的工作電腦或面單打印機電腦上安裝木馬軟件，對用戶敏感信息數據進行竊取，并在數據交易市場上以單價3元進行售賣。

面對越來越多的API攻擊和數據泄露風險，企業應從多個維度來構建防御體系，更需要基于風險情報來構建攻擊檢測模型，做到及早感知及時防御，從而保障企業及其用戶的數據安全。