2025年金融證券行業(yè)遭遇前所未有的安全挑戰(zhàn)。十大典型事件累計(jì)影響超過(guò)3000萬(wàn)用戶，涵蓋借貸平臺(tái)、征信機(jī)構(gòu)、保險(xiǎn)巨頭、銀行與證券交易所等核心金融基礎(chǔ)設(shè)施。

攻擊特征呈現(xiàn)三大趨勢(shì)：供應(yīng)鏈成為主要突破口，TransUnion、Allianz等機(jī)構(gòu)均因第三方云服務(wù)或外包商漏洞失陷;雙重勒索模式盛行,Qilin等團(tuán)伙竊取TB級(jí)數(shù)據(jù)后利用暗網(wǎng)施壓;身份與信用數(shù)據(jù)成為核心目標(biāo),姓名、社保號(hào)、收入狀況等高價(jià)值信息可支撐完整犯罪鏈條。

地域與規(guī)模雙重?cái)U(kuò)散值得警惕：攻擊已從華爾街延伸至印度、馬來(lái)西亞、加勒比等新興市場(chǎng)，中小金融機(jī)構(gòu)因"有錢且防護(hù)弱"成為重點(diǎn)目標(biāo)。即便Bursa Malaysia僅80個(gè)賬戶受損,但直擊交易系統(tǒng)公信力,凸顯證券基礎(chǔ)設(shè)施的系統(tǒng)性風(fēng)險(xiǎn)。

應(yīng)對(duì)之策需聚焦：將第三方納入統(tǒng)一安全治理、部署零信任架構(gòu)、演練勒索場(chǎng)景、實(shí)施數(shù)據(jù)最小化留存,并強(qiáng)化客戶端安全教育。金融機(jī)構(gòu)的安全邊界已徹底重構(gòu)——從機(jī)房延伸至整個(gè)生態(tài)鏈。

1.Prosper 借貸平臺(tái)數(shù)據(jù)泄露（約 1,760 萬(wàn)人）

• 時(shí)間 & 地區(qū)：2025-09-02 發(fā)現(xiàn)，美國(guó)

• 機(jī)構(gòu)類型：P2P 在線借貸平臺(tái)（Prosper Marketplace）

• 影響：泄露超過(guò) 1,760 萬(wàn)人的個(gè)人和金融信息，是今年金融領(lǐng)域規(guī)模最大的單一數(shù)據(jù)泄露之一。

事件過(guò)程（簡(jiǎn)要）：

攻擊者入侵 Prosper 系統(tǒng)后，訪問(wèn)了大量客戶數(shù)據(jù)。根據(jù) Prosper 自身通告與 HaveIBeenPwned 的統(tǒng)計(jì)，約 1,760 萬(wàn)唯一郵箱地址受影響，其中約 280 萬(wàn)此前未出現(xiàn)在任何已知數(shù)據(jù)泄露中。泄露數(shù)據(jù)包括姓名、政府簽發(fā)身份證號(hào)、出生日期、住址、就業(yè)與收入狀況、信用狀態(tài)、IP 地址、瀏覽器 UA 等高度敏感信息。平臺(tái)稱未見(jiàn)到賬戶資金被直接竊取，但被迫向受害者提供信用監(jiān)控與加強(qiáng)監(jiān)測(cè)。

2.TransUnion 信用報(bào)告巨頭數(shù)據(jù)泄露（約 440 萬(wàn)人）

• 時(shí)間 & 地區(qū)：2025-07-28 發(fā)生，07-30 發(fā)現(xiàn)，美國(guó)

• 機(jī)構(gòu)類型：三大征信機(jī)構(gòu)之一 TransUnion

• 影響：約 440 萬(wàn)名客戶的個(gè)人信息（含 SSN）被竊取，雖然不算人數(shù)最大的，但因?yàn)槭侨珖?guó)征信核心基礎(chǔ)設(shè)施，系統(tǒng)性風(fēng)險(xiǎn)很高。

事件過(guò)程（簡(jiǎn)要）：

攻擊者通過(guò)一個(gè)為 TransUnion 美國(guó)消費(fèi)者支持服務(wù)提供支撐的第三方應(yīng)用實(shí)現(xiàn)未授權(quán)訪問(wèn)，被認(rèn)為與一系列針對(duì) Salesforce 環(huán)境的攻擊有關(guān)，勒索團(tuán)伙 ShinyHunters 被多方指認(rèn)為幕后黑手。被竊數(shù)據(jù)包括姓名、出生日期、社會(huì)安全號(hào)等身份核心要素，官方強(qiáng)調(diào)“核心征信數(shù)據(jù)庫(kù)未被訪問(wèn)”，但泄露的信息已經(jīng)足以支撐大規(guī)模身份盜用與精準(zhǔn)釣魚(yú)。TransUnion 正向受害者提供兩年信用監(jiān)控服務(wù)。

3.Prosperity（Allianz Life 北美壽險(xiǎn)）CRM 供應(yīng)鏈數(shù)據(jù)泄露（約 140 萬(wàn)人）

• 時(shí)間 & 地區(qū)：2025-07-16 入侵，07-17 發(fā)現(xiàn)，美國(guó)

• 機(jī)構(gòu)類型：Allianz Life（安聯(lián)北美壽險(xiǎn)，全球保險(xiǎn)巨頭子公司）

• 影響：約 140 萬(wàn)客戶、理財(cái)顧問(wèn)和員工個(gè)人信息暴露，屬于頭部保險(xiǎn)業(yè)供應(yīng)鏈攻擊案例之一。

事件過(guò)程（簡(jiǎn)要）：

攻擊者通過(guò) 社工獲取憑據(jù)，入侵 Allianz 使用的第三方云端 CRM 系統(tǒng)，而并非直接攻入 Allianz 內(nèi)部網(wǎng)絡(luò)。受影響數(shù)據(jù)包含絕大多數(shù) Allianz Life 客戶和部分從業(yè)人員的個(gè)人識(shí)別信息（PII）。公司稱核心內(nèi)部系統(tǒng)與網(wǎng)絡(luò)未被攻破，但必須大規(guī)模通知客戶并配合監(jiān)管披露。此案典型體現(xiàn)了金融機(jī)構(gòu)對(duì)云端業(yè)務(wù)系統(tǒng)和供應(yīng)商的高度依賴以及相應(yīng)的攻擊面。

4.Prosper Marketplace 之外：Bank of America 文檔銷毀供應(yīng)商泄露事件（“數(shù)百萬(wàn)賬戶存在風(fēng)險(xiǎn)”）

• 時(shí)間 & 地區(qū)：2024-12-30 發(fā)生，2025-03-10 公告，美國(guó)

• 機(jī)構(gòu)類型：美國(guó)銀行 Bank of America（BOA）

• 影響：官方披露強(qiáng)調(diào)“部分客戶確認(rèn)受影響”，但多家安全媒體指出可能波及“數(shù)百萬(wàn)賬戶”，敏感程度極高。

事件過(guò)程（簡(jiǎn)要）：

一間負(fù)責(zé) 紙質(zhì)機(jī)密文件銷毀的第三方供應(yīng)商在運(yùn)輸過(guò)程中未妥善保護(hù)材料，部分銀行文檔從密封容器中掉落到金融網(wǎng)點(diǎn)外部被發(fā)現(xiàn)。相關(guān)文檔包含姓名、社保號(hào)、賬戶資料、聯(lián)系方式、地址、出生日期等敏感信息。此前在 2025 年 1 月還有一次涉及 400 余名客戶的小規(guī)模第三方失誤事件，這次“重演”進(jìn)一步暴露大型銀行在線下文檔與第三方管理上的薄弱環(huán)節(jié)。

5.瑞士 Habib Bank AG Zurich 勒索攻擊（2.56 TB 銀行業(yè)數(shù)據(jù)）

• 時(shí)間 & 地區(qū)：Qilin 勒索團(tuán)伙 2025-11-05 在暗網(wǎng)上掛出，銀行 11-11 確認(rèn)事件，瑞士/全球

• 機(jī)構(gòu)類型：Habib Bank AG Zurich，擁有 500+ 網(wǎng)點(diǎn)的跨國(guó)銀行

• 影響：勒索團(tuán)伙聲稱竊取 2.56 TB 數(shù)據(jù)，包括大量銀行業(yè)務(wù)與客戶資料，雖然確切受影響人數(shù)未披露，但從數(shù)據(jù)體量和銀行體量看，影響極大。

事件過(guò)程（簡(jiǎn)要）：

Qilin 勒索團(tuán)伙在其數(shù)據(jù)泄漏站點(diǎn)公布 Habib Bank AG Zurich 為受害者并聲稱偷走 2.56 TB 數(shù)據(jù)。銀行在較長(zhǎng)時(shí)間沉默后于 11 月確認(rèn)存在“未授權(quán)外部訪問(wèn)企業(yè)網(wǎng)絡(luò)”，稱銀行服務(wù)保持正常，正在與取證和安全專家合作評(píng)估暴露數(shù)據(jù)范圍，目前未確認(rèn)是否支付贖金。研究顯示 2025 年已有 80+ 起銀行和金融機(jī)構(gòu)勒索事件被記載，Qilin 對(duì)金融行業(yè)尤其“偏好”。

6.Angel One 印度互聯(lián)網(wǎng)券商 AWS 資源入侵（最多 800 萬(wàn)用戶記錄受威脅）

• 時(shí)間 & 地區(qū)：2025-02-27 發(fā)現(xiàn)，2025-03-01 披露，印度

• 機(jī)構(gòu)類型：Angel One，印度頭部線上券商/投資平臺(tái)

• 影響：多方安全報(bào)道稱，泄露可能涉及高達(dá) 800 萬(wàn)用戶的個(gè)人數(shù)據(jù)，雖公司強(qiáng)調(diào)資金和證券賬戶未受損，但對(duì)隱私和品牌打擊很大。

事件過(guò)程（簡(jiǎn)要）：

Angel One 的部分 AWS 云資源被未授權(quán)訪問(wèn)，起因是暗網(wǎng)監(jiān)測(cè)合作伙伴發(fā)現(xiàn)疑似泄露數(shù)據(jù)發(fā)布。公司隨后確認(rèn)部分云資源遭入侵，迅速重置相關(guān)憑據(jù)、啟用取證調(diào)查，并強(qiáng)調(diào)沒(méi)有資金、證券或登錄憑據(jù)被竊取。攻擊者在多個(gè)黑客論壇上聲稱掌握大量 Angel One 客戶數(shù)據(jù)，引發(fā)輿論壓力。事件本質(zhì)上是云資產(chǎn)管理與訪問(wèn)控制問(wèn)題，非常典型。

7.ICICI Bank 被 BASHE 勒索團(tuán)伙“宣稱”攻破（高風(fēng)險(xiǎn)、但尚未完全核實(shí)）

• 時(shí)間 & 地區(qū)：2025-01-22～24 曝光，印度

• 機(jī)構(gòu)類型：ICICI Bank，印度第二大商業(yè)銀行

• 影響：BASHE 勒索團(tuán)伙聲稱竊取 數(shù) TB 級(jí)別敏感客戶數(shù)據(jù)，包含信用卡類型、余額等信息，并設(shè)置 2025-01-24 贖金最后期限。銀行官方長(zhǎng)期未確認(rèn)，部分媒體認(rèn)為存在“夸大或虛構(gòu)”嫌疑，但事件本身對(duì)金融體系信心的沖擊極大。

事件過(guò)程（簡(jiǎn)要）：

· BASHE（APT73）在其暗網(wǎng)泄露站公布 ICICI 為受害者，發(fā)布數(shù)據(jù)樣本與倒計(jì)時(shí)，威脅逾期公開(kāi)全部數(shù)據(jù)。

· 泄露樣本中包含姓名、電話、住址、性別、信用卡類型及疑似余額等字段。

· 多家安全媒體和研究機(jī)構(gòu)跟進(jìn)報(bào)道，稱這是 BASHE 針對(duì)印度金融機(jī)構(gòu)的一次高調(diào)行動(dòng)。

· 印度媒體后續(xù)調(diào)查發(fā)現(xiàn)該組織此前對(duì)其他銀行也有“虛假或夸大戰(zhàn)果”歷史，因此這一事件更多被視作高風(fēng)險(xiǎn)情報(bào)，而非完全坐實(shí)的數(shù)據(jù)泄露。

從安全運(yùn)營(yíng)角度來(lái)看，即便未百分百確認(rèn)，也會(huì)被當(dāng)成重大安全事件處理，包括重置憑據(jù)、監(jiān)測(cè)黑市數(shù)據(jù)、加強(qiáng) SOC 監(jiān)控等。

8.馬來(lái)西亞交易所（Bursa Malaysia）線上交易賬戶未經(jīng)授權(quán)交易事件

• 時(shí)間 & 地區(qū)：2025-04-24 公告，馬來(lái)西亞

• 機(jī)構(gòu)類型：Bursa Malaysia 證券交易所 & 若干經(jīng)紀(jì)商

• 影響：約 80 個(gè)個(gè)人投資者賬戶遭到未授權(quán)交易，雖人數(shù)不大，但直接涉及證券買賣及交易所信譽(yù)，是典型“證券市場(chǎng)基礎(chǔ)設(shè)施”安全事件。

事件過(guò)程（簡(jiǎn)要）：

馬來(lái)西亞證監(jiān)會(huì)（SC）與 Bursa Malaysia 披露，有多名投資者賬戶被未授權(quán)訪問(wèn)，并被用于進(jìn)行股票買賣。初步調(diào)查顯示，問(wèn)題出在部分經(jīng)紀(jì)商端的線上交易系統(tǒng)安全控制不足（例如弱密碼、缺乏 MFA、API 安全不當(dāng)?shù)龋?，而非交易所核心撮合系統(tǒng)被攻破。監(jiān)管機(jī)構(gòu)要求券商緊急加強(qiáng)身份認(rèn)證與風(fēng)控規(guī)則，強(qiáng)調(diào)對(duì)線上交易平臺(tái)的網(wǎng)絡(luò)與應(yīng)用安全需要持續(xù)審查。

9.KEP Credit Union 勒索攻擊（Qilin）

• 時(shí)間 & 地區(qū)：2025-07-16 攻擊，07-17 被監(jiān)測(cè)到，庫(kù)拉索（Cura?ao）

• 機(jī)構(gòu)類型：KEP Credit Union，區(qū)域性信用合作社

• 影響：具體泄露規(guī)模未公開(kāi)，但作為當(dāng)?shù)刂匾你y行服務(wù)提供者，存在大量存款、貸款和會(huì)員信息被泄露的可能，對(duì)地區(qū)金融穩(wěn)定和公眾信任影響明顯。

事件過(guò)程（簡(jiǎn)要）：

· Qilin 勒索團(tuán)伙在其泄露站點(diǎn)與威脅情報(bào)渠道上公布 KEP 為受害者，威脅若不談判將公開(kāi)所有數(shù)據(jù)，并給出“即將全量泄露”的警告。

· 多個(gè)情報(bào)網(wǎng)站將此列入 2025 年金融行業(yè)勒索事件清單，泄露規(guī)模未知，但足以引發(fā)監(jiān)管關(guān)注和客戶恐慌。

10.Venture Credit Union 勒索攻擊與恢復(fù)

• 時(shí)間 & 地區(qū)：2025-07-18 完成恢復(fù)并公告，加勒比特立尼達(dá)和多巴哥

• 機(jī)構(gòu)類型：Venture Credit Union

• 影響：核心銀行系統(tǒng)被及時(shí)阻斷，但部分客戶個(gè)人身份信息被泄露并上傳暗網(wǎng)。事件凸顯中小金融機(jī)構(gòu)在面對(duì)大型勒索團(tuán)伙時(shí)的脆弱性。

事件過(guò)程（簡(jiǎn)要）：

· 2025-07-18，Venture Credit Union 發(fā)布聲明稱已從一次勒索攻擊中恢復(fù)，攻擊使用 Qilin（Agenda）家族勒索軟件。

· 機(jī)構(gòu)表示，因過(guò)去兩年持續(xù)進(jìn)行網(wǎng)絡(luò)防護(hù)建設(shè)，加上 IT 團(tuán)隊(duì)迅速處置，核心銀行信息未被攻破，但部分客戶的個(gè)人文件被竊取并在暗網(wǎng)作為“證明”公開(kāi)。

· 之后與國(guó)際安全專家合作完成取證與恢復(fù)，同時(shí)向成員承諾繼續(xù)提升防護(hù)水平。

結(jié)合上面十個(gè)案例，可以看出 2025 年金融證券領(lǐng)域安全事件有幾個(gè)明顯特征：

1.供應(yīng)鏈 & 第三方云服務(wù)成最大突破口

• TransUnion（第三方 Salesforce/應(yīng)用）、Allianz Life（第三方云 CRM）、Prosper（疑似憑據(jù)被盜、云端系統(tǒng)被攻破）、Bank of America（線下文檔銷毀供應(yīng)商）等，都不是“核心主機(jī)被直接打穿”，而是供應(yīng)鏈/外包/云服務(wù)被利用。

• 對(duì)金融機(jī)構(gòu)來(lái)說(shuō)，安全邊界早已不在自家機(jī)房，而是擴(kuò)展到 SaaS、CRM、呼叫中心、文檔處理、營(yíng)銷系統(tǒng)等一長(zhǎng)串合作方。

經(jīng)驗(yàn)教訓(xùn)：
必須把第三方納入統(tǒng)一的風(fēng)險(xiǎn)管理，包括安全條款、滲透測(cè)試、集中日志與監(jiān)控、定期審計(jì)和退出機(jī)制。

2.勒索軟件 + 雙重勒索成為金融業(yè)“標(biāo)配威脅”

• Habib Bank、KEP Credit Union、Venture Credit Union 和（可能的）ICICI 事件，都與 Qilin 或 BASHE 等勒索團(tuán)伙相關(guān)。

• 這些團(tuán)伙采用“加密 + 數(shù)據(jù)竊取 + 泄露站點(diǎn)公開(kāi)樣本”的典型雙重勒索模式，還利用社交媒體和暗網(wǎng)放風(fēng)制造輿論壓力。

經(jīng)驗(yàn)教訓(xùn)：

• 傳統(tǒng)“只做備份防勒索”的思路已經(jīng)不夠，數(shù)據(jù)被竊取本身就是災(zāi)難。

• 需要對(duì)外聯(lián)通的文件服務(wù)器、備份系統(tǒng)、域控、郵件等做更強(qiáng)的縱深防御與最小權(quán)限控制。

3.高價(jià)值數(shù)據(jù)：身份要素 + 信用信息 = 攻擊者最“愛(ài)”

• Prosper、TransUnion、Allianz、Bank of America 事件中，泄露的核心數(shù)據(jù)都是：姓名 + 身份證件/SSN + 出生日期 + 聯(lián)系方式 + 信用狀況/收入/貸款信息。

• 這些數(shù)據(jù)可以用于：身份盜用、貸款詐騙、精準(zhǔn)釣魚(yú)、SIM 換卡、賬戶接管等一整套犯罪鏈條，遠(yuǎn)比單純的郵箱密碼更有價(jià)值。

經(jīng)驗(yàn)教訓(xùn)：

對(duì)這類“身份 + 金融畫(huà)像”數(shù)據(jù)，應(yīng)該按“高于銀行卡號(hào)”的級(jí)別來(lái)保護(hù)：強(qiáng)加密、嚴(yán)格訪問(wèn)控制、脫敏使用、數(shù)據(jù)最小化留存。

4.證券市場(chǎng)基礎(chǔ)設(shè)施事件雖“小”，但系統(tǒng)性影響大

• Bursa Malaysia 的未授權(quán)交易事件，受影響賬戶只有幾十個(gè)，但因?yàn)橹苯影l(fā)生在交易賬戶和訂單層面，屬于對(duì)市場(chǎng)公信力的核心威脅。

• 如果同類問(wèn)題在更多券商或市場(chǎng)爆發(fā)，很可能引發(fā)“交易結(jié)果是否可信”的系統(tǒng)性擔(dān)憂。

經(jīng)驗(yàn)教訓(xùn)：

證券類機(jī)構(gòu)要特別重視：線上交易端登錄安全（MFA）、設(shè)備指紋、行為風(fēng)控、訂單異常檢測(cè)以及快速“撤單/風(fēng)控熔斷”機(jī)制。

5.區(qū)域與機(jī)構(gòu)類型的擴(kuò)散：不再只是大行和華爾街

• 案例分布于美國(guó)、歐洲（瑞士）、印度、馬來(lái)西亞、加勒比地區(qū)等，多數(shù)都是監(jiān)管完善但攻擊面復(fù)雜的市場(chǎng)。

• 中小金融機(jī)構(gòu)（區(qū)域信用社、合作社）逐漸成為勒索團(tuán)伙偏愛(ài)的“既有錢又相對(duì)防護(hù)較弱”的目標(biāo)。

6.輿論與監(jiān)管的作用被攻擊者“反向利用”

• BASHE 針對(duì) ICICI 的事件說(shuō)明，即便實(shí)際入侵細(xì)節(jié)存疑，單靠在暗網(wǎng)掛個(gè)倒計(jì)時(shí)、發(fā)幾張樣本表格，就足以制造市場(chǎng)恐慌和公關(guān)危機(jī)。

• 勒索團(tuán)伙越來(lái)越懂得借媒體與社交平臺(tái)放大影響、促進(jìn)受害者“就范”。

結(jié)合上面這些事件，我們歸納出幾條實(shí)用的安全建設(shè)重點(diǎn)（更偏策略層面）：

1.把第三方當(dāng)成自家系統(tǒng)的一部分來(lái)做安全治理

• 統(tǒng)一第三方安全評(píng)估（含云/SaaS/外包）

• 合同中明確日志留存、入侵通報(bào)、滲透測(cè)試配合等條款

• 對(duì)接統(tǒng)一 SIEM/SOC 監(jiān)控，做到“看得見(jiàn)、拉得斷”

2.默認(rèn)對(duì)關(guān)鍵系統(tǒng)采用零信任/最小權(quán)限 + 強(qiáng)認(rèn)證

• 所有生產(chǎn)及運(yùn)維訪問(wèn)強(qiáng)制MFA / FIDO2

• 對(duì) CRM、征信接口、核心賬戶系統(tǒng)實(shí)行基于身份與設(shè)備的細(xì)粒度訪問(wèn)控制

3.勒索場(chǎng)景專門演練與備戰(zhàn)

• 明確：是否、在何種條件下考慮談判 / 贖金策略

• 制定“數(shù)據(jù)泄露而非僅僅加密”場(chǎng)景的危機(jī)公關(guān)與客戶通知流程

• 定期做紅藍(lán)對(duì)抗或桌面演練，把備份恢復(fù)、業(yè)務(wù)降級(jí)方案走通

4.數(shù)據(jù)治理：只保存“用得著”的那一份

• 對(duì)歷史交易、貸款申請(qǐng)材料等做歸檔與脫敏，減少在線明文數(shù)據(jù)池

• 落實(shí)數(shù)據(jù)分類分級(jí)，對(duì)含 SSN/身份證號(hào)/收入與信用畫(huà)像的表進(jìn)行特別保護(hù)

5.面向終端客戶的安全教育與產(chǎn)品設(shè)計(jì)

• 對(duì)高凈值/高交易頻率客戶提供更強(qiáng)的登錄保護(hù)（硬件密鑰、交易白名單等）

• 提前把“發(fā)生泄露后你會(huì)看到什么郵件/短信通知、你應(yīng)該做什么”寫(xiě)在官網(wǎng)與 App 中，避免事件發(fā)生后“信息真空”。

合作電話：18311333376

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com