威胁猎人-2024年上半年保险行业数据泄露风险态势报告-2024.07-34正式版-WN8.ppt

前言在快速崛起的数字经济时代，数据作为企业的核心资产及重要战略资源，在高速增长的同时，其背后的数据风险也在不断攀升，日渐复杂的数据泄露形势，已成为各行各业数字化发展赛道的严重阻碍。保险行业作为金融行业三大支柱产业之一，涉及大量高净值人群，数据转化效率高，变现能力强，是黑灰产重点攻击的对象。威胁猎人近期发布的《2024年上半年数据泄露风险态势报告》数据显示，保险行业2024年上半年发生数据泄露事件2039起，行业排名第四。一旦发生数据泄露，或数据泄露后不及时管控，导致数据被黑灰产进行大范围交易、作恶，严重损害平台客户的利益，保险等金融机构不仅会遭到客户投诉，同时也会面临监管部门的惩罚，损害其经济和品牌声誉。威胁猎人长期致力于黑灰产业链及数据泄露风险的深入挖掘和研究，报告将与同业者一起探讨保险行业数据资产泄露的主要特点和发展3

相关名词定义：1、DRRC：威胁猎人在深圳、重庆成立DRRC数字风险应急响应中心，汇集30+安全运营专家，为企业提供7×24小时应急响应服务；2、真实性验证引擎：通过不同文件类型的个人要素提取和比对，以及对图片OCR结果中的要素进行提取及验证，有效识别该图片内容中是否含有伪造数据/历史泄露数据；3、数据泄露情报：威胁猎人通过TG群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用”的情报信息，可能包含历史数据、重复数据等，往往量级巨大；4、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证，排除历史虚假信息、确认有效的数据泄露事件；5、暗网：指隐藏的网络，普通网民无法通过常规手段有哪些信誉好的足球投注网站访问，需要使用一些特定的软件、配置或者授权才能登录；6、公民个人信息：指公民个人身份信息，包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等；7、历史个人信息：指此次数据泄露事件之前就已经泄露过的个人信息，很多历史个人信息被黑产收集整合成社工库；8、历史数据事件：黑产将泄露过的真实信息进行整合并再次用于交易的事件，通常黑产会对数据进行精细化处理，补充数据字段完整性，从而提升数据价值及盈利空间；9、虚假数据事件：黑产将伪造的虚假数据数据用于交易的事件；10、第三方泄露：和企业存在合作关系的第三方，具有访问企业某些敏感数据的权限，但由于管理不规范等问题，导致这些敏感数据通过第三方泄露到黑产手中；4

11、短信通道泄露：随着历年来短信收发业务的发展，短信通道商开始通过压低价格的方式来获取更高的订单，比如会以低于市场标准价格与短信下发方（甲方）达成交易，而其收益空间降低很多，因此内部会通过非法售卖短信信息数据的方式获取更多收益。12、运营商通道：黑产通过运营商内鬼或违规代理等渠道，获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息；13、内鬼泄露：企业内部员工在利益的驱使下，采用资料导出、人工拍摄等方式，获取客户敏感信息后进行售卖；14、黑客攻击：外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产，利用企业网络漏洞大规模窃取数据；15、基础字段：主要指个人基础信息，包括个人信息（姓名、手机号、身份证号、出生日期、性别、年龄、邮箱、具体居住地、学历等）、财产信息（收入情况、车牌号、汽车品牌、号码种类、车价等）、家庭信息（婚姻情况、家庭关系等）、工作信息（企业单位、职业等）；16、业务字段：主要指保险业务相关信息，包括投保类型（险种）、投保日期、保障期限、投保金额、保单号、保单形式、保单目的、投保责任、缴费形式、平台名称、订单编号、订单支付状态、订单支付金额、订单来源等；17、黑产自定义字段：黑产为了提高黑产数据交易价值及效率，会对数据进行清洗后定义，如：验证ID、设备信息（IOS/安卓）、所属运营商等（验证ID主要是黑产对数据进行标记，防止被二次贩卖）。进行标记，防止被二次贩卖）。5

01保险行业数据泄露黑色产业链介绍

一、保险行业数据泄露黑色产业链介绍威胁猎人针对保险行业数据泄露产业链进行深入研究，发现围绕数据资产泄漏和倒卖的产业链目前已经相当成熟，基于明确的分工和定位分为上、中、下游。上游：数据窃取团伙包括公司内鬼、黑客、运营商、运营商第三方代理、短信通道服务商等。这些人专门负责从保险机构的内部和外部寻找获取数据的渠道并窃取数据。在数据越来越值钱的当下，巨大的利益和极低的犯罪成本驱动着上游的数据窃取者甘愿铤而走险。注：下文将会对保险行业已被攻击平台、数据泄露渠道等进行分析，详情见第二章。中游：数据中间商大部分活跃在暗网、Telegram、黑产论坛、Potato等平台，这些人在不同的平台上发布帖7

子销售数据，并负责对数据进行分类和清洗，以满足下游客户的各种需求。注：下文将会对保险行业已泄露数据的地下交易渠道