暗网中中国银联数据泄露系假数据
零零信安
一、事件背景
2025年6月1日,用户Zabaniah在暗网网站darkforums平台发布了一篇名为《 [ CHINA ] 10 MILLION INTERNATIONAL UNIONPAY USER DATA》的帖子,售卖中国银联的1000万条数据。经初步研判,尚无直接证据能够证明这些数据与银联的相关性。以下是该事件在0.zone平台上的镜像截图:
0.zone的事件镜像链接:
该数据包含姓名、ID、手机号、性别、出生日期、身份证号码及地址等关键信息。黑客在发布帖中未明示具体售卖价格,而是留下了个人的Session及Tox联系方式,并声称仅面向“诚意买家”出售,明确表示如对方浪费其时间,将直接拉黑处理。
在0.zone平台的数据泄露版块检索域名为unionpayintl.com(中国银联)的数据,发现涉及该组织的4次数据泄露事件(不包含本次事件),以下是这四个事件的0.zone的截图:
四个事件的0.zone的镜像链接分别为:
二、数据分析
在上面提到的四起与银联有关的事件中(不含本次事件),有三起事件的数据量均为6300万条,且样例数据的字段结构高度一致,其中两起事件的样本数据下载链接完全相同,基本可判断为同一批次数据的重复泄露或变种传播。另一事件则涉及与手机IMEI号码相关的用户信息泄露,数据类型和来源特征与前述三起存在明显差异,可能源自不同渠道或攻击路径。
以下是从先前泄露事件中的下载链接下载到的数据的截图:
以下是本次泄露事件的样例数据的截图:
观察发现,两起事件的数据字段高度相似,极有可能属于同一批次数据。通过对两份数据中的身份证号码字段进行抽取比对,确认本次泄露事件中的样例数据实际上是对先前泄露数据的姓名字段进行了修改,伪装成一份新的数据。以下截图展示了身份证号码字段的对比情况,奇数行是本次泄露数据,偶数行是先前泄露事件的数据。
抽取先前泄露数据中的姓名和身份证号进行二要素验证后,结果显示真实性较高;因此,另一份经过姓名字段修改的数据的真实性存疑。以下为对先前泄露数据进行二要素验证的详细结果:
三、结论
综上所述,本次泄露的数据系基于此前泄露数据的修改版本。经对上次泄露数据中的姓名与身份证号进行二要素验证,结果显示其真实性较高,具有一定的可信度。但目前尚无直接证据能够证明这些数据来源于中国银联。
另外,2024年8月19日,零零信安分析师曾针对2024年8月15日BreachForums发布的中国银联数据泄露事件写过一篇分析报告“【假】网传6.3亿条银联数据泄露不实”,访问地址为: https://0.zone/article/20240819
零零信安为政府和各类企事业单位提供最专业的深网监测、数据泄露监测产品和服务,合作咨询请扫描以下二维码,联系客服:
