《2024年上半年保险行业数据泄露风险态势报告》

12目录一、保险行业数据泄露黑色产业链介绍.......................................................... 7二、2024 上半年保险行业数据泄露风险概况...............................................112.1 2024 上半年保险行业数据泄露事件共有 2039 起，涉及 80 家保险机构..............112.2 国内大型保险机构是黑产团伙的主要攻击对象，数据泄露事件占比超 50%........ 112.3 TG 和暗网渠道是非法数据交易的主要交易渠道，占比超过 98%........................... 132.4 保险行业被泄露的数据类型主要是用户信息，占比超 95%.....................................142.5 保险行业被泄露数据主要来源于第三方泄露，其次是短信通道泄露......................152.6 单个事件泄露的数据量以小规模居多，5000 条以下占比将近 60%......................162.7 保险行业被黑产交易的数据中历史数据、虚假数据占比远超全网水平..................17三、保险行业数据泄露字段及人群画像分析.................................................203.1 近 98%的数据包含个人基础信息，20%的数据包含黑产自定义标签.................... 203.2 保险业务字段出现频率最高的是“保险类型”和“平台名称”..............................213.3 “保险类型”中“人身保险”占比最高，以“人寿保险”和“年金保险”居多..223.4 诈骗团伙通过“IOS”字段标签对保险平台用户进行精准诈骗...............................223.5 保险行业数据泄露用户群体主要集中在浙江、四川等地，以中年女性为主..........24四、保险行业典型数据泄露事件分析........................................................... 274.1 因第三方安全管控不足，导致大量保险行业敏感数据泄露......................................274.2 某保险机构 API 机构被黑客攻击，20 万用户保单信息泄露....................................284.3 疑似保险机构“内鬼”非法获取用户数据获利..........................................................294.4 疑似短信通道存在安全隐患导致保险机构数据泄露..................................................293前言在快速崛起的数字经济时代，数据作为企业的核心资产及重要战略资源，在高速增长的同时，其背后的数据风险也在不断攀升，日渐复杂的数据泄露形势，已成为各行各业数字化发展赛道的严重阻碍。保险行业作为金融行业三大支柱产业之一，涉及大量高净值人群，数据转化效率高，变现能力强，是黑灰产重点攻击的对象。威胁猎人近期发布的《2024 年上半年数据泄露风险态势报告》数据显示，保险行业 2024 年上半年发生数据泄露事件 2039 起，行业排名第四。一旦发生数据泄露，或数据泄露后不及时管控，导致数据被黑灰产进行大范围交易、作恶，严重损害平台客户的利益，保险等金融机构不仅会遭到客户投诉，同时也会面临监管部门的惩罚，损害其经济和品牌声誉。威胁猎人长期致力于黑灰产业链及数据泄露风险的深入挖掘和研究，报告将与同业者一起探讨保险行业数据资产泄露的主要特点和发展4相关名词定义：1、DRRC：威胁猎人在深圳、重庆成立 DRRC 数字风险应急响应中心，汇集 30+安全运营专家，为企业提供 7×24 小时应急响应服务；2、真实性验证引擎：通过不同文件类型的个人要素提取和比对，以及对图片 OCR 结果中的要素进行提取及验证，有效识别该图片内容中是否含有伪造数据/历史泄露数据；3、数据泄露情报：威胁猎人通过 TG 群、暗网等渠道捕获到的“未授权个人/组织敏感信息被公开交易或使用” 的情报信息，可能包含历史数据、重复数据等，往往量级巨大；4、数据泄露事件：威胁猎人安全研究专家针对数据泄露情报的样例等进行分析及验证，排除历史虚假信息、确认有效的数据泄露事件；5、暗网：指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权才能登录；6、公民个人信息：指公民个人身份信息，包括但不限于姓名、身份证号码、出生日期、手机号码、家庭住址、银行账户信息等；7、历史个人信息：指此次数据泄露事件之前就已经泄露过的个人信息，很多历史个人信息被黑产收集整合成社工库；8、历史数据事件：黑产将泄露过的真实信息进行整合并再次用于交易的事件，通常黑产会对数据进行精细化处理，补充数据字段完整性，从而提升数据价值及盈利空间；9、虚假数据事件：黑产将伪造的虚假数据数据用于交易的事件；10、第三方泄露：和企业存在合作关系的第三方，具有访问企业某些敏感数据的权限，但由于管理不规范等问题，导致这些敏感数据通过第三方泄露到黑产手中；511、短信通道泄露：随着历年来短信收发业务的发展，短信通道商开始通过压低价格的方式来获取更高的订单，比如会以低于市场标准价格与短信下发方（甲方）达成交易，而其收益空间降低很多，因此内部会通过非法售卖短信信息数据的方式获取更多收益。12、运营商通道：黑产通过运营商内鬼或违规代理等渠道，获取到指定网页的访问数据、指定应用的安装数据、指定短信的接收和发送数据等信息；13、内鬼泄露：企业内部员工在利益的驱使下，采用资料导出、人工拍摄等方式，获取客户敏感信息后进行售卖；14、黑客攻击：外部黑客使用爬虫、扫描、渗透等方式攻击企业系统和网络资产，利用企业网络漏洞大规模窃取数据；15、基础字段：主要指个人基础信息，包括个人信息（姓名、手机号、身份证号、出生日期、性别、年龄、邮箱、具体居住地、学历等）、财产信息（收入情况、车牌号、汽车品牌、号码种类、车价等）、家庭信息（婚姻情况、家庭关系等）、工作信息（企业单位、职业等）；16、业务字段：主要指保险业务相关信息，包括投保类型（险种）、投保日期、保障期限、投保金额、保单号、保单形式、保单目的、投保责任、缴费形式、平台名称、订单编号、订单支付状态、订单支付金额、订单来源等；17、黑产自定义字段：黑产为了提高黑产数据交易价值及效率，会对数据进行清洗后定义，如：验证 ID、设备信息（IOS/安卓）、所属运营商等（验证 ID 主要是黑产对数据进行标记，防止被二次贩卖）。进行标记，防止被二次贩卖）。6二次贩卖）。保险行业数据泄露黑色产业链介绍017一、保险行业数据泄露黑色产业链介绍威胁猎人针对保险行业数据泄露产业链进行深入研究，发现围绕数据资产泄漏和倒卖的