1）泄露的数据中，包含手机号、姓名、地址的有1200余起；

2）泄露的数据中，包含手机号、姓名的有1900余起；

3）泄露的数据中，包含手机号、地址的1700余起；

我们进一步对包含手机号、姓名、地址泄露信息的行业分布进行分析发现，和整体相差不大，依然是物流行业占比最高，达54%，电商行业占比7%。

威胁猎人情报研究员对物流、电商行业进行分析后发现，这两个行业数据泄露的主要原因包括：

1. “内鬼”违规获取，包括：面单拍摄、数据人为导出等

如下，威胁猎人数据资产泄露情报监测平台在2022年11月15日捕获到，国内某大型物流公司的用户快递面单信息数据遭到泄露，量级达每日上千条。

泄露原因主要是快递站点工作人员进行面单拍摄，而后该人员在Telegram等交易平台，以每单4元的价格进行出售。

2.API遭到爬虫攻击导致的泄露，典型事件为国内某大型电商平台的11亿用户数据泄露

2021年6月，国内某大型电商平台用户ID、昵称、手机号以及用户评价等敏感信息数据遭到泄露，已有超11亿8千多万用户遭到影响。

泄露主要原因是其电商平台API接口被爬虫攻击导致，黑产团伙通过批量添加微信好友进行营销推广，非法获利数万元。

3.商家和快递公司之间的云仓平台被植入木马、漏洞攻击等

2022年，国内某快递公司云仓电商仓库，被黑产团伙以应聘工作为由虚假入职，通过在其使用的工作电脑或面单打印机电脑上安装木马软件，对用户敏感信息数据进行窃取，并在数据交易市场上以单价3元进行售卖。

面对越来越多的API攻击和数据泄露风险，企业应从多个维度来构建防御体系，更需要基于风险情报来构建攻击检测模型，做到及早感知及时防御，从而保障企业及其用户的数据安全。

疑似45亿条快递信息泄露数据安全再敲警钟

近日

有媒体曝出

国内45亿个人信息被公开泄露

造成不少网友的恐慌

这些数据主要为数以亿万计的网购用户的个人快递信息

包括真实姓名

电话与住址等敏感信息

并且已出现公开查询渠道

本次数据泄露的数量规模大

且数据关乎公民个人隐私信息

重要敏感性极高

奇安信集团数据安全首席专家刘前伟表示，重要敏感的大规模数据泄露事件多次发生，暴露出国内数据安全仍然面临着合规落地滞后、重要数据针对性防护缺失、缺乏全方位风险感知等三大矛盾，如何保障重要数据“零事故”、不出事是当前亟待解决的核心课题。

国内数据安全尚面临三大矛盾

大数据时代，个体、组织和国家所产生的数据将行为主体的敏感信息、自身权益以及经济价值等置于更加透明的位置，其网络安全风险也随之加剧。根据奇安信威胁情报中心的监测发现，仅仅是2022年1月到10月，就有超过950亿条的中国境内机构数据在海外被非法交易，其中60%的数据泄露事件泄露的是公民个人信息，约有570多亿条，这就相当于14亿中国人，在2022年，平均每人泄露了41条个人信息。数据安全已成为关乎社会民生的重大问题，而当下有三大矛盾亟需破解。

第一个是法律法规监管加码和合规落地滞后的矛盾。

2021年，国家先后发布了《数据安全法》、《个人信息保护法》、《数据出境安全评估办法（征求意见稿）》、《网络数据安全管理条例》（征求意见稿）；2022年6月，国家又发布了《关于开展数据安全管理认证工作的公告》，进一步将数据安全从法律法规层面，推向了监管落地层面。

图：国家战略与网络安全、数据安全法律法规概览

然而，这些重磅法律法规具体的实施落地情况，却不尽人意，甚至和法规要求相去甚远。2022年6月，工信部对外公布已累计通报、下架违法违规APP近3000款；2022年8月，国内某出行巨头被罚处80.26亿元，加上国内频发的数据泄露、数据滥用等事件，都暴露了《数据安全法》等法律法规，距离实际落地依然存在不小的“真空地带”。

第二是关乎民生数据的高重要性，与防护体系非常脆弱的矛盾。

刘前伟认为，目前大规模重要敏感数据缺乏针对性的防护手段。众所周知，随着云计算、大数据技术的发展，大数据的集中存储使得其重要性和价值也随之增加。不过，与之匹配的安全防护手段却没有随之增加，如API安全防护、特权账号管理、数据库安全审计等。由于大量敏感数据缺少分级分类的防护措施，直接暴露在攻击者面前，带来了巨大的泄露和滥用风险。

第三是攻击者大肆贩卖获益，和丢失者后知后觉的矛盾

从近年来的一些大规模数据泄露事件来看，黑客的暗网交易渠道、社区竟然成为了组织获知数据泄露的重要渠道等。这暴露一个突出矛盾，企业普遍缺乏对数据泄露风险的全方位感知能力。

习总书记2016年4月19日在网络安全和信息化工作座谈会上的讲话曾指出，维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓“聪者听于无声，明者见于未形”。感知网络安全态势是最基础的工作。然而就目前发生的数据泄露事件来看，仍有相当数据量的企业难以感知数据安全风险，直到大量数据在“暗网”被打包出售才“后知后觉”。

数据安全建设需分步实施、多管齐下

面对与日俱增的数据泄露事件、愈发严峻的数据安全形势，传统突击型数据安全建设、单纯的产品堆砌、盲目的照搬照抄，无法有效保护业务数据。刘前伟认为，企业数据安全需要从以下三个方面展开，筑牢数据安全防线。

首先是确保“合规不踩线”，守好企业经营基石

刘前伟认为，“合规不踩线”是企业经营的重要基石之一。从外部来看，世界各国家、地区均通过法律法规、经济管理与行政手段等多种措施加强了对数据的安全监管；从内部来看，我国也加快推进数据安全的法规制度、标准体系建设，迈入有法可依，有据可查的强监管时代。可以说，数据安全合规是企业的立身之本。

以隐私合规举例，奇安盘古隐私安全团队推出的“隐私卫士”，可针对各类操作平台下的App、小程序、网站等全类互联网应用服务，进行主动全面的安全检测，从基础用户接触面的信息交互，到产品开发层面的第三方SDK、API、开源代码应用，再到企业管理面的数据存储、数据应用等可完成全面的隐私安全排查。并以“三法一条例”（《个人信息保护法》、《数据安全法》、《网络安全法》以及《关键信息基础设施安全保护条例》）为基，达标行业监管实行的191、164、14号文及国标35273、41391等，可帮助各类企业实现业务的合规开展，降低监管通报风险、并提高数据的安全防护能力。

其次是分步实施的体系化数据安全建设。

数据安全不是单点防护而是全局体系化防御，数据环境随着业务发展不断动态变化，在流动过程中各环节都可能面临不同的安全风险，单一安全产品根本无法解决。为此，奇安信认为政企机构筑牢数据安全防线需要“三步走”，分别是盘清资产、精准防护、全局管控。

图：奇安信数据安全能力框架