1 信息泄露：2018 年企业信息安全头号威胁 目录 一、 概述 ........................................................................................................................ 3 二、企业互联网资产面临严峻安全考验 ............................................................................ 4 （一）网络空间资产端口开放较多，隐患较大 ................................................................... 5 （二）企业服务器需警惕安全漏洞威胁 ............................................................................... 9 三、现实案例：脆弱的外网资产或致敏感数据泄露 ....................................................... 12 （一）某快递企业数据泄露 ................................................................................................. 13 （二）某平价连锁酒店信息泄露 ......................................................................................... 13 （三）某知名招聘网站信息被出售 ..................................................................................... 14 （四）Facebook .................................................................................................................. 14 （五）美国社交问答网站 Quora ........................................................................................ 15 （六）某高端星级酒店集团数据泄露 ................................................................................. 15 四、“暗流涌动”的黑市交易侵蚀数据安全 .................................................................. 16 （一）暗网为个人信息贩卖的主要渠道 ............................................................................. 16 （二）详细的个人信息催生精准诈骗 ................................................................................. 23 （三）撞库攻击催化信息泄露裂变式增长 ......................................................................... 25 （四）海量的信息泄露滋生了撒网式诈骗 ......................................................................... 27 五、 总结 ..................................................................................................................... 29 参考链接： ................................................................................................................... 31 2 信息泄露：2018 年企业信息安全头号威胁 一、 概述 2017 年 6 月 1 日《网络安全法》正式实施，从法律层面积极推进了网络 安全工作，是保障网民个人信息安全的法律武器。同时对企业而言，数据资产 的重要性不仅仅体现在经济层面，还要对关键信息基础设施及其重要数据担负 一定的法律责任。然而在暗处总有一些人在利益的驱使下伺机而动，窃取数 据，谋取私利。 过去的一年，以比特币、门罗币、以太坊币为代表的虚拟数字加密币日益 普及，这些虚拟加密币对网络安全生态产生极大影响：各种非法交易使用虚拟 加密币完成，一方面使得交易更加直接简单，减少变现中间环节，使非法交易 更加隐蔽。另一方面也使执法部门的查处难度大大增强，一定程度上对非法数 据买卖、病毒制造传播等黑色产业起到助推器的作用。 回看 2018 年，数据泄露事件频发，某平价连锁酒店集团 5 亿条信息数 据、快递订单数据、某高端星级酒店数据、学生信息、大量银行卡身份证等个 人敏感数据泄露或直接暗网黑市上公开贩卖。而这些个人信息泄露历来都是各 类网络诈骗，尤其是精准诈骗实施的源头。 随着网络技术的发展，暴露在互联网的注册域名、线上主机、IP 网络、业 务系统等互联网（外网）资产越来越多，相关的业务也越来越复杂，随之而来 的网络安全威胁也越来越多，越来越复杂。互联网资产存在的安全漏洞、安全 弱点等安全问题，已经逐渐成为网络安全威胁的重要因素。 本报告以企业暴露在外部的互联网资产角度，评估安全风险，同时通过在 互联网、暗网等网络空间“插眼”从而以攻击者视角感知外部存在的风险情 3 信息泄露：2018 年企业信息安全头号威胁 况，并结合腾讯安全大数据及第三方授权或公开的信息和数据为基础，结合抽 样分析/调查报告等方法，经综合整理、分析得出。其主要选取了信息化程度 高，管理水平强的大中型企业指标数据作为参考对象，涵盖上千家企业网站和 线上服务平台。 从报告阐述的问题来看，国内企业互联网资产仍然存在比较严重的已知安 全问题，黑客入侵、信息泄露等安全问题对关键信息基础设施及其企业/个人的 敏感信息的威胁不容忽视： ⚫ 网络空间资产端口开放较多，隐患大，如开放高危端口的资产比例高 达 36%； ⚫ 服务器漏洞风险较大，仍有部分企业使用的服务软件/组件未升级到最 新版本，如未及时修复基存在的漏洞，则极易遭受外部不法分子的攻 击; ⚫ 数据泄露风险事件频发，帐号/邮箱类信息等老数据以及网购/物流类数 据等与个人息息相关的数据备受暗网等黑市交易平台青睐。 二、 企业互联网资产面临严峻安全考验 企业互联网外网资产的安全会影响到内网安全，黑客通过攻击外网服务 器，获得成功之后，会以这些服务器为跳板，实现对企业内网的攻击和数据窃 取。这也是黑客入侵企业内网最常用的套路。 另外一方面，通过钓鱼、挂马等传统攻击方式，实现对办公电脑的控制或 数据洗劫，从而获取进入内网的入口信息（帐号、密码等），或者直接对有价 值的办公网系统实施勒索等破坏性攻击。 4 信息泄露：2018 年企业信息安全头号威胁 图 2_1：黑客攻击/入侵内网示意图 （一）网络空间资产端口开放较多，隐患较大 1. 端口开放情况 网络空间的基础设施包含网站的服务器以及运行在服务器上的各种服务。 网络空间的基础设施承载了包括网站、电子邮件、文件传输等各种网络通信功 5 信息泄露：2018 年企业信息安全头号威胁 能。他们在互联网上的机器语言表现形式是以基于 TCP 和 UDP 的各种端口的 网络通信。 图 2_2：端口开放情况 由上图可以看到，80 端口的开放数量是排名第一位的，这与行业惯例会 将 Web 服务(网站)开放在 80 端口是一致的。另外，我们看到 443 端口开放量 也比较高，由于 443 端口常用于加密的 https 网站通信，说明相关的企事业单 位在保护网络通信方面已经有了一定的成就。 6 信息泄露：2018 年企业信息安全头号威胁 2. 高危端口开放情况 我们将最近几年黑客攻击事件中出现频率较高的端口划为高危端口，并对 3000 多个抽样 WEB 服务器等互联网空间资产做了空间测绘，发现仍有 36%的 资产开放着这些高危端口，存在较高的安全隐患。 图 2_3：开放高危端口的主机比例 除了 22、1900 等端口之外，还有较大比重的邮件服务、数据库服务等端 口暴露在公网上。 7 信息泄露：2018 年企业信息安全头号威胁 图 2_4：高危端口开放情况 22 端口常用于 Linux 平台的 SSH 远程连接服务，3389 端口常用于 Windows 系统的远程桌面连接。如果管理员使用的密码强度不够，黑客可以 轻松的通过暴力破解直接登录网站服务器。 1900 UDP 端口 源于 SSDP Discovery Service 服务。通过使用 SSDP 协 议对端口 1900 进行扫描可以发现 UPnP（即插即用协议）设备，攻击者可以 利用这些设备发动 DDos 攻击，制造出大量流量，导致目标企业的网站和网络 瘫痪。 8 信息泄露：2018 年企业信息安全头号威胁 7001 端口是 WebLogic 的默认端口，WebLogic 今年被爆出多个可被远 程攻击的高危漏洞，如果漏洞未能及时修复，则不排除有远程攻击的可能。 3306 是 MySQL 数据库的默认端口，而数据库是几乎所有黑客都觊觎的东 西，所以数据库系统直接暴露在外网是非常危险的行为，而使用默认端口的数 据库暴露在外网会极大减低黑客攻击的难度，增加被攻击的风险。 数据库攻击者，除了窃取数据信息（拖库）之外，还可能针对数据库的数 据实施经济勒索攻击。攻击者先将数据库进行备份，然后利用远程命令删除数 据库从而实施勒索。最典型的勒索攻击莫过于 2017 年 5 月份爆发的 WannaCry，该病毒会对公网随机 IP 地址的 445 端口进行扫描感染。 根据测绘结果分析，仍有部分服务器资产开放了 445 端口。如果这些服务 器没有打上相应的补丁，那么仍然存在被勒索病毒攻击的风险。即便是打上了 补丁，也仍然需要面对勒索病毒变种的攻击。