企业暴露面检测
会员 商品 订阅
开发者中心

关于近期黑客论坛活跃用户FireBear 的分析

零零信安

1.背景
近日在某黑客论坛上涌现了大量售卖涉我企业和部门的数据泄露事件,且作者ID均为:FireBear。泄漏范围涉及金融、教育、旅游、社交、社会公共服务等行业。
本报告将对FireBear所发布的出售涉我事件进行整理,并对其中数据进行分析研判。
2.关于用户Fire Bear
该名黑客昵称为“FireBear(火熊)”,其头像上也有中文“火熊”字样。
此黑客加入论坛事件为2024年9月19日,在随后的20日、21日以及23日发布了共计16篇售卖涉及中国数据帖子。经调查发现这些数据的售卖价格在几百美元至几千美元不等,均需与卖家在站外私下联系。该名黑客在论坛上的等级为“GOD”,结合该黑客在几天内大量上传售卖数据的动作,推测是该名黑客为了让自己账号看起来更可信进而购买的升级包。截止本篇报告撰写之时,FireBear自行下架了两篇帖子,具体下架原因目前不得而知。
FireBear发布的全部数据镜像地址:
https://0.zone/search_home?title_type=darknet&title=%28msg.author%3D%3Dfirebear%29&page=1&pagesize=100
此外我们发现该黑客发布的数据内容、ID、LOGO等,与之前(约6-8月份)活跃的另外一个ID:BlackKing(黑王)极为相似,且发布的多为涉我数据。
BlackKing发布的全部数据镜像地址:
https://0.zone/search_home?title_type=darknet&title=%28msg.author%3D%3Dblackking%29&page=1&pagesize=100
目前该用户(FireBear)已被黑客论坛管理员以“诈骗未遂:出售中国澳门公民数据”进行了永久封停!
3.全部涉我事件统计
涉我事件共计16个,具体列表见下表格,其中按时间先后排序,同天的帖子不分先后:
事件名称 发布时间 数量
中国最新IOS用户数据库泄露 2024年9月20日 62,000,000
香港回乡证数据泄露 2024年9月20日 980,000
香港居民身份证信息数据泄露 2024年9月20日 800,000
美国华人购物数据库泄露 2024年9月20日 720,000
珍爱网用户数据泄露(已下线) 2024年9月20日 2,000,000
中国旅行社数据泄露 2024年9月20日 7,500,000
中国天然气保险客户数据库泄露 2024年9月20日 2,200,000
中国建设银行客户数据泄露 2024年9月21日 120,000
中国燃气集团客户数据泄露 2024年9月21日 5,822,418
中国公民个人信息数据泄露(已下线) 2024年9月21日 480,000,000
中国澳门公民数据泄露 2024年9月21日 150,000
中国邮政银行网贷平台数据泄露 2024年9月21日 4,800,000
钉钉集团用户数据 2024年9月23日 720,000
中国在线教育平台51talk 2024年9月23日 950,000
中国公积金数据库 2024年9月23日 750,000
台湾公务员部数据库 2024年9月23日 550,000
4.数据分析
下面将对此次16个事件中涉及内地的部分数据进行抽样分析:
4.1.中国天然气保险客户数据库泄露
数据数量:2,200,000
数据字段:
flag_status: 可能表示某个订单或记录的状态标志,例如是否完成、激活、审核通过等
orderId: 订单的唯一标识符
userId: 下订单的用户的唯一标识符
name: 用户的姓名
mobile: 用户的手机号码
idNo: 用户的身份证号码
address: 用户的地址
productId: 产品的唯一标识符
riskId: 可能表示与产品相关的风险评估或者保险风险的标识符
premium: 保险保费,如果是保险相关的记录,这个字段可能表示用户需要支付的保险费用
amount: 订单金额或支付金额
supplierName: 供应商的名称
productName: 产品名称
0.zone镜像截图:
此份数据声称为中国天然气保险客户的数据集,包含了个人和保险相关的多个字段。鉴于仅提供了数十条样本数据,经过对这些样本的全面分析后,无法确定数据的真实性和时效性。
4.2.【假】中国燃气集团用户数据泄露
数据数量:5,822,418
数据字段:
hlr_carrier: 可能指的是HLR(Home Location Register,归属地位置寄存器)查询的运营商
calc_birthyear: 计算出的出生年份
calc_birthmonthday: 计算出的出生月份和日期
id_province: 省份的标识符
id_city: 城市的标识符
flag_status: 可能表示某种状态的标志,比如账户的激活状态
orderId: 订单的标识符
userId: 用户的标识符
name: 名字
mobile: 手机号码
idNo: 身份证号码
address: 地址
productId: 产品标识符
riskId: 风险标识符,可能用于风险评估
premium: 保险费,通常用于保险行业
0.zone截图:
对此份数据的样例分析发现该数据中号称“idNo: 身份证号码”的字段只有16位且出生日期均为1910年。因此此份数据大概率为随机生成或拼凑来的假数据。
4.3.【老密】中国旅行社的最新数据泄露
数据数量:7,500,000
数据字段:
calc_sex: 计算或推断的性别
hlr_province: 用户的HLR(Home Location Register,归属位置寄存器)省份,通常用于移动通信领域确定用户的注册位置
hlr_city: 用户的HLR城市
hlr_carrier: 用户的HLR运营商
calc_birthyear: 计算或推断的出生年份
calc_birthmonthday: 计算或推断的出生月和日
id_province: 身份证上的省份
id_city: 身份证上的城市
flag_status: 标志状态,可能表示账户的状态,如活跃、禁用等
Name: 用户的名字
CardNo: 身份证号
note: 关于用户的备注或注释
Gender: 性别
Birthday: 出生日期
Address: 地址
Zip: 邮政编码
FirstNm: 名
LastNm: 姓氏
Mobile: 移动电话号码
Tel: 固定电话号码
Fax: 传真号码
EMail: 电子邮件地址
Nation: 民族
Taste: 兴趣爱好或口味偏好
Education: 教育背景
Company: 公司名称,可能是用户所在的公司
Family: 家庭信息
0.zone镜像截图:
对此份数据的样例进行分析后发现该数据与此前泄露过的“华住酒店”数据相似度极高(数据字段相似且数据相同),下随机抽取一条数据举例:
此份数据中的样例:
华住酒店数据:
结论:此份数据卖家称大多数来自于与携程合作的旅行社数据,对此数据所提供的样例进行研判分析后发现该数据与此前泄露过的“华住酒店”数据80%相同。其他字段为其他的数据拼凑而来,因此号称“2024年7月与携程合作的旅行社数据”是以“华住酒店”为主数据,通过拼凑其他的老数据或随机生成的假数据而来的老密数据。
4.4.中国最新IOS用户数据库泄露
数据数量:7,500,000
数据字段:
Name: 姓名
ID: 身份证号
Phone Number: 手机号
0.zone截图:
此前曾在黑客论坛上流传过多个版本数量的中国最新IOS用户数据库,但没有一份数据像该份数据一样只有3个字段,此前的数据大多格式一致,比该份数据字段多了性别、城市、出生日期、归属地等。因只有数十条样例数据,在对此份数据的样例进行全部分析后无法判断该数据的真假性以及新鲜程度。
4.5.珍爱网用户数据泄露
数据数量:7,500,000
数据字段:
电话
姓名
微信性别
微信昵称
微信其他
微信简介
身份证
地址
年段
来源
微信头像
0.zone截图:
此份数据中的样例并没有作者声称的姓名和手机号字段,因只有数十条样例数据,在对此份数据的样例进行全部分析后无法判断该数据的真假性以及新鲜程度。
5.关于该用户(FireBear)的分析
经过对该用户所发布的帖子进行随机抽样分析后发现:该用户FireBear发布的内容与此论坛上用户BlackKing所发布的售卖数据帖子完全相同(BlackKing会重复发布):
FireBear所发布的全部内容:
BlackKing所发布的全部内容:
两人所发布的同一份数据样例也大致相同(FireBear会比BlackKing缺少一些字段),以珍爱网数据举例:
FireBear所发布的珍爱网数据:
BlackKing所发布的珍爱网数据:
两位用户在头像、论坛昵称以及Telegram联系方式的用户名上存在相似之处,这可能表明他们具有相同的个人习惯或标识。用户"BlackKing"在短时间内发布了大量出售中国数据的帖子,随后注销了其账号,紧接着"FireBear"出现了。因此,有较大的可能性认为这两个用户实际上是同一个人。结合之前对数据样本的分析以及暗网卖家的一般行为模式(例如,一旦成功销售数据,便会积累信誉,通常倾向于使用单一账号进行交易),可以推断"FireBear"大概率为骗子,发布的数据很可能是对旧数据进行清洗和重新组合的结果,或者是伪造的数据。