当前位置：首页 > 数据库

在暗网中企业易发生重大数据泄露事件

每年都会有大量的暗网公司发生重大数据泄露事件，例如2022年Medibank和Optus的中企重数据泄露、Twitter的业易数据泄露、Uber和Rockstar的发生数据泄露以及2023年T-Mobile、MailChimp和OpenAI的数据事件数据泄露。在2022年，泄露卡巴斯基实验室列出了全球700家来自不同行业的暗网公司，然后在暗网上搜索，中企重试图分析这些公司遭受攻击的业易可能性有多大？

研究发现，暗网里的源码库发生帖子都是关于出售受攻击帐户、内部数据库和文档，数据事件以及访问公司基础设施。泄露虽然暗网确实促进了各种数据类型的暗网销售，例如，中企重银行卡信息、业易驾驶执照和身份证照片等，但本文重点还是放在了与企业特别相关的信息上。研究发现700家公司中有223家在暗网上被提及，泄露数据的主题也不同。

各行业分布

这意味着三分之一的模板下载公司在与销售数据或访问相关的暗网帖子中被引用，即使是网络安全成熟度高的公司也避免不了被黑客攻击。

本文提供了一个统计概述，包括所有暗网帖子，涉及2022年1月至2023年11月期间出售、购买或免费传播受攻击帐户的数据。

数据泄露

数据泄露会暴露机密、敏感信息，并可能导致重大问题。最常见的例子是数据库和内部文档，香港云服务器因为所有有一定规模的公司都使用机密数据，泄露会影响公司本身、员工和客户。

暗网上每月大约有1700个新的帖子出现，涉及销售、传播或购买泄露数据。

2022年1月至2023年11月与数据库出售/购买相关的消息数量

应该注意的是，并不是每条消息都代表一条最新出现的泄漏，其中有些是服务器租用重复的广告相同泄漏。

一个组合报价的示例

另一种流行的泄露类型是收集公共数据的数据库，如姓名、个人资料、id和电子邮件，这些数据来自流行的社交网络。它们是开发攻击的宝贵来源。2021年，源码下载超过7亿LinkedIn用户和5.33亿Facebook用户的个人信息被抓取并发布在暗网上。

泄露的LinkedIn数据库分布示例

基础设施的访问

以下是网络攻击者获取企业基础设施初始访问权限以进行攻击的最常见行为：

1.利用软件漏洞。例如，对企业web资源的攻击，利用跨网站组件的1日漏洞，SQL注入，访问易受攻击的web应用程序控制面板等。

2.获得合法的亿华云公司证书。例如，使用窃取日志中的数据或密码挖掘。

3.针对员工的网络钓鱼攻击。例如，带有恶意负载的电子邮件。

特别要提的是盗用合法账户的方法。这些驻留在受感染设备中的恶意程序收集各种帐户和支付数据、cookie文件、授权令牌等，并保存到日志中。网络攻击者扫描这些日志，寻找他们可以利用和赚钱的数据，一些人在寻找信用卡数据，另一些人在寻找域名账户，社交网络账户等，他们把这个阶段称为加工。在整理完日志后，他们要么在论坛上公开交换自己的发现，要么把它们卖给个人买家。

关于漏洞(例如SQL注入)和合法凭据(例如RDP/SSH)的信息，对于收入可观的公司来说，定价会非常不同，因为它们提供了不同的成功攻击概率。出售帐户以访问远程管理接口(RDP 、SSH)意味着已经获得了对公司网络基础设施系统的访问权限，而漏洞仅仅提供了实现类似级别访问的机会。

即使涉及到同样的问题，比如SQL注入，也有许多因素影响攻击的潜在发展，比如易受攻击的主机位置(例如，公司网络或云服务器)，预期的漏洞利用技术，数据库容量等，基础设施访问受欢迎的原因很简单，复杂的攻击几乎总是包括几个阶段，例如侦察、对基础设施的初始访问、获得对目标系统或特权的访问，以及实际的恶意行为(数据盗窃、破坏或加密等) 。不同的阶段需要不同的专业知识，因此网络攻击者往往具有专业知识，容易获得访问权限的人可能在攻击的发展中面临困难。在这种情况下，购买初始访问权限简化了攻击，对于经验丰富的网络罪犯来说很划算。

对于希望降低与基础设施访问销售相关的风险的企业来说，第一个挑战是了解销售情况。与其他类型的数据相比，这种数据类型的巨大区别在于，网络攻击者不喜欢在消息中提及公司的名称，以免失去访问权限，即使有人提到了名字，社区也会建议他们不要分享多余的信息。

对提供出售的帖子发表评论