实战教学：企业如何更快发现和处置数据泄露？

近几年，重大数据泄露事件接二连三出现，随着《数据安全法》、《反电信网络诈骗法》等安全法律法规日趋严格细致，监管越来越严格，有关“企业因数据泄露被监管惩罚”的新闻不胜枚举：

“顶尖金融机构上亿用户信息泄露，被监管局罚款8000万美元”；

“某银行重要投资文档误上传到外部在线文库，被监管严厉追责”；

......

企业背负数据泄露风险，除了监管压力，还面临经济损失和名誉损伤等危害，力求尽早发现和处置数据泄露风险。

近期，威胁猎人协助某知名金融机构A及时发现和处置数据泄露风险，避免风险危害进一步扩大。

这个实战案例，可以说是企业应对数据泄露的“成功案例”，希望通过此事件分析，为企业提供一些有效的风险防御思路。

事件复盘

2023年4月，金融机构A每天都会收到大量客户投诉，客户声称“接到冒充A的诈骗电话，因此被骗了很多钱”，由于被诈骗的客户数量大，公安机关出面要求A尽快找出问题并整改，否则将面临严厉惩罚。

但机构A左思右想也没找到原因，心急如焚......

与此同时，威胁猎人Karma风险情报平台监测到在匿名聊天软件上有黑产出售金融机构A用户的贷款数据，立马反馈给A机构。A机构联想到近期大量客户被电话诈骗的情况，认为两者有紧密联系，于是联合威胁猎人启动应急分析和处置。

问题逐渐浮出水面，迎来转机.....

分析和处置过程

第一步：预警消息，尽早感知数据泄露风险

4月23日 15:08，威胁猎人的Karma风险情报平台基于成熟、全面的情报能力，在匿名聊天工具Telegram上，捕获到有黑产发布金融机构A的用户贷款数据。

注：Karma提供的数据泄露预警（已做脱敏处理）

该数据为一手交易数据，虽然已被黑产打码，但仍能看出字段涉及下款时间、金额、姓名、手机号、住址等敏感信息。

威胁猎人分析机构A很可能出现了用户数据泄露，第一时间将捕获的信息同步该机构，并将相关疑似遭泄露的用户数据同步机构安全人员确认。

第二步：获取完整数据，分析风险真实性

4月23日 17:19，也就是威胁猎人发现金融机构A可能存在数据泄露的两小时后，机构A根据威胁猎人提供的打码数据进行模糊匹配，初步验证数据为真实数据。

机构A迫切想拿到未打码完整数据进一步验证，期望威胁猎人的安全运营人员搜集完整的相关泄露数据。

4月24日的 18:40，威胁猎人的安全运营人员经过机构A的授权和同意，利用相关的技术手段和工具，向黑产取证购买了未打码的数据样例100条，每条10元。

注：威胁猎人向黑产取证购买到的泄露数据样例

机构A将数据样例的手机号、地址、贷款金额、下款时间等信息与内部数据库进行匹配，确定泄露数据为用户真实数据。

第三步：究根问底，溯源数据泄露原因

机构A验证泄露数据为真实用户数据后，立即启动紧急响应机制，在威胁猎人的协助下调查泄露源和原因。

从泄露的数据来看，涉及下款时间、金额、姓名、手机号、住址等字段，与机构的数据库信息结构一致，加上和黑产的深入交流，威胁猎人安全运营人员初步推测机构A数据泄露的起因是内部系统缺陷，很有可能来源于数据库泄露。

4月25日的20:10，机构A的安全人员通过日志重点排查：

发现有异常IP访问机构数据库，并定位到贷款业务使用的运维组件未开启认证权限，黑产能直接拿到数据库的地址、用户名和密码；

同时因为运维人员误操作，MySQL数据库监听在0.0.0.0 IP地址上，导致外网也可以直接访问MySQL数据库；

黑产可以直接通过“偷”的地址、用户名和密码，登录数据库爬取数据。

至此，机构A成功溯源数据泄露原因，从发现风险到找到原因只用了2天。

第四步：对症下药，快速处置阻断风险

确定数据泄露的原因，就可以对症下药。

在威胁猎人安全专家的建议下，机构A首先调整了MySQL的配置，只能内网访问，然后修改了数据库的用户名和密码，接着对“运维组件”开启了认证才能访问的配置。

黑产不再能登录数据库爬取数据，数据泄露问题得到了解决，用户涉诈投诉也随之减少，避免了监管追责，保障了业务的正常运行。

注：黑产不再能爬取机构A用户数据后的吐槽

导致此次数据泄漏事件的原因，涉及到开源组件、MySQL的配置等诸多因素，由于数据泄漏的涉及面比较广，企业想要全面杜绝是很难的。

另一方面，数据已经泄漏一个多月，导致大量客户投诉而被监管感知到，极大影响到品牌和口碑。

对此，威胁猎人建议企业通过外部情报及时感知到潜在的数据泄漏，趁早修复泄漏隐患，才能更好地保障业务健康发展。

安全建议

工欲善其事，必先利其器。

在上文分享的金融机构实战案例中，威胁猎人Karma业务风险情报平台是金融机构A应对数据泄露的“利器”，帮助机构A快速、全面、精准地获取风险情报，在对抗中掌握主动权。

Karma业务风险情报平台通过长期且深入地对黑灰产业链上游、中游的全面布控，持续提升底层情报技术、数据源丰富性、风险感知及时性等方面的能力。

实现情报源覆盖更全、信息更准、更新更快，企业借此能快速感知、及早防御、精准溯源、快速处置数据泄露风险。

及时预警数据泄露，让风险感知更快一步

Karma风险情报平台全面覆盖数据泄露渠道：

1）匿名群聊平台：每天捕获190W+条消息；

2）暗网文库网盘：含黑产存储数据的小众网盘；

3）代码托管平台：含Sourceforge等小众平台。

并通过全网部署的蜜罐体系和风险感知技术，实时捕获最新攻击数据，自动化预警用户信息、业务代码、内部敏感文件、员工信息等数据泄露风险，帮助企业更快感知风险。

支持下架和溯源安全服务，高效处置风险

预警风险之后，Karma风险情报平台可提供下架服务和专家情报溯源服务，帮助企业及时处置数据泄露风险，再也不用担心发生在外部的数据泄露难处置的问题。

提供专业深入的数据泄漏事件分析报告，提前防御风险

Karma风险情报平台提供季度、年度《数据资产泄露分析报告》，详细分析数据泄露态势、典型案例、疑似45亿数据泄露等重大事件，借此企业能提前感知风险态势和提前防御。

免费试用

Karma风险情报平台

持续为互联网、金融、电商等各行各业

提供数据泄露风险预警、溯源、处置服务

目前面向广大用户

提供30天免费试用

快来扫码申请试用吧~

2023年1月5日，永安在线进行品牌焕新，正式更名为“威胁猎人”（详见：成立6周年，威胁猎人焕新回归）。

原文始发于微信公众号（威胁猎人Threat Hunter）：实战教学：企业如何更快发现和处置数据泄露？