2025年金融证券行业遭遇前所未有的安全挑战。十大典型事件累计影响超过3000万用户,涵盖借贷平台、征信机构、保险巨头、银行与证券交易所等核心金融基础设施。
攻击特征呈现三大趋势:供应链成为主要突破口,TransUnion、Allianz等机构均因第三方云服务或外包商漏洞失陷;双重勒索模式盛行,Qilin等团伙窃取TB级数据后利用暗网施压;身份与信用数据成为核心目标,姓名、社保号、收入状况等高价值信息可支撑完整犯罪链条。
地域与规模双重扩散值得警惕:攻击已从华尔街延伸至印度、马来西亚、加勒比等新兴市场,中小金融机构因"有钱且防护弱"成为重点目标。即便Bursa Malaysia仅80个账户受损,但直击交易系统公信力,凸显证券基础设施的系统性风险。
应对之策需聚焦:将第三方纳入统一安全治理、部署零信任架构、演练勒索场景、实施数据最小化留存,并强化客户端安全教育。金融机构的安全边界已彻底重构——从机房延伸至整个生态链。
1.Prosper 借贷平台数据泄露(约 1,760 万人)
时间 & 地区:2025-09-02 发现,美国
机构类型:P2P 在线借贷平台(Prosper Marketplace)
影响:泄露超过 1,760 万人的个人和金融信息,是今年金融领域规模最大的单一数据泄露之一。
事件过程(简要):
攻击者入侵 Prosper 系统后,访问了大量客户数据。根据 Prosper 自身通告与 HaveIBeenPwned 的统计,约 1,760 万唯一邮箱地址受影响,其中约 280 万此前未出现在任何已知数据泄露中。泄露数据包括姓名、政府签发身份证号、出生日期、住址、就业与收入状况、信用状态、IP 地址、浏览器 UA 等高度敏感信息。平台称未见到账户资金被直接窃取,但被迫向受害者提供信用监控与加强监测。
2.TransUnion 信用报告巨头数据泄露(约 440 万人)
时间 & 地区:2025-07-28 发生,07-30 发现,美国
机构类型:三大征信机构之一 TransUnion
影响:约 440 万名客户的个人信息(含 SSN)被窃取,虽然不算人数最大的,但因为是全国征信核心基础设施,系统性风险很高。
事件过程(简要):
攻击者通过一个为 TransUnion 美国消费者支持服务提供支撑的第三方应用实现未授权访问,被认为与一系列针对 Salesforce 环境的攻击有关,勒索团伙 ShinyHunters 被多方指认为幕后黑手。被窃数据包括姓名、出生日期、社会安全号等身份核心要素,官方强调“核心征信数据库未被访问”,但泄露的信息已经足以支撑大规模身份盗用与精准钓鱼。TransUnion 正向受害者提供两年信用监控服务。
3.Prosperity(Allianz Life 北美寿险)CRM 供应链数据泄露(约 140 万人)
时间 & 地区:2025-07-16 入侵,07-17 发现,美国
机构类型:Allianz Life(安联北美寿险,全球保险巨头子公司)
影响:约 140 万客户、理财顾问和员工个人信息暴露,属于头部保险业供应链攻击案例之一。
事件过程(简要):
攻击者通过 社工获取凭据,入侵 Allianz 使用的第三方云端 CRM 系统,而并非直接攻入 Allianz 内部网络。受影响数据包含绝大多数 Allianz Life 客户和部分从业人员的个人识别信息(PII)。公司称核心内部系统与网络未被攻破,但必须大规模通知客户并配合监管披露。此案典型体现了金融机构对云端业务系统和供应商的高度依赖以及相应的攻击面。
4.Prosper Marketplace 之外:Bank of America 文档销毁供应商泄露事件(“数百万账户存在风险”)
时间 & 地区:2024-12-30 发生,2025-03-10 公告,美国
机构类型:美国银行 Bank of America(BOA)
影响:官方披露强调“部分客户确认受影响”,但多家安全媒体指出可能波及“数百万账户”,敏感程度极高。
事件过程(简要):
一间负责 纸质机密文件销毁的第三方供应商在运输过程中未妥善保护材料,部分银行文档从密封容器中掉落到金融网点外部被发现。相关文档包含姓名、社保号、账户资料、联系方式、地址、出生日期等敏感信息。此前在 2025 年 1 月还有一次涉及 400 余名客户的小规模第三方失误事件,这次“重演”进一步暴露大型银行在线下文档与第三方管理上的薄弱环节。
5.瑞士 Habib Bank AG Zurich 勒索攻击(2.56 TB 银行业数据)
时间 & 地区:Qilin 勒索团伙 2025-11-05 在暗网上挂出,银行 11-11 确认事件,瑞士/全球
机构类型:Habib Bank AG Zurich,拥有 500+ 网点的跨国银行
影响:勒索团伙声称窃取 2.56 TB 数据,包括大量银行业务与客户资料,虽然确切受影响人数未披露,但从数据体量和银行体量看,影响极大。
事件过程(简要):
Qilin 勒索团伙在其数据泄漏站点公布 Habib Bank AG Zurich 为受害者并声称偷走 2.56 TB 数据。银行在较长时间沉默后于 11 月确认存在“未授权外部访问企业网络”,称银行服务保持正常,正在与取证和安全专家合作评估暴露数据范围,目前未确认是否支付赎金。研究显示 2025 年已有 80+ 起银行和金融机构勒索事件被记载,Qilin 对金融行业尤其“偏好”。
6.Angel One 印度互联网券商 AWS 资源入侵(最多 800 万用户记录受威胁)
时间 & 地区:2025-02-27 发现,2025-03-01 披露,印度
机构类型:Angel One,印度头部线上券商/投资平台
影响:多方安全报道称,泄露可能涉及高达 800 万用户的个人数据,虽公司强调资金和证券账户未受损,但对隐私和品牌打击很大。
事件过程(简要):
Angel One 的部分 AWS 云资源被未授权访问,起因是暗网监测合作伙伴发现疑似泄露数据发布。公司随后确认部分云资源遭入侵,迅速重置相关凭据、启用取证调查,并强调没有资金、证券或登录凭据被窃取。攻击者在多个黑客论坛上声称掌握大量 Angel One 客户数据,引发舆论压力。事件本质上是云资产管理与访问控制问题,非常典型。
7.ICICI Bank 被 BASHE 勒索团伙“宣称”攻破(高风险、但尚未完全核实)
时间 & 地区:2025-01-22~24 曝光,印度
机构类型:ICICI Bank,印度第二大商业银行
影响:BASHE 勒索团伙声称窃取 数 TB 级别敏感客户数据,包含信用卡类型、余额等信息,并设置 2025-01-24 赎金最后期限。银行官方长期未确认,部分媒体认为存在“夸大或虚构”嫌疑,但事件本身对金融体系信心的冲击极大。
事件过程(简要):
· BASHE(APT73)在其暗网泄露站公布 ICICI 为受害者,发布数据样本与倒计时,威胁逾期公开全部数据。
· 泄露样本中包含姓名、电话、住址、性别、信用卡类型及疑似余额等字段。
· 多家安全媒体和研究机构跟进报道,称这是 BASHE 针对印度金融机构的一次高调行动。
· 印度媒体后续调查发现该组织此前对其他银行也有“虚假或夸大战果”历史,因此这一事件更多被视作高风险情报,而非完全坐实的数据泄露。
从安全运营角度来看,即便未百分百确认,也会被当成重大安全事件处理,包括重置凭据、监测黑市数据、加强 SOC 监控等。
8.马来西亚交易所(Bursa Malaysia)线上交易账户未经授权交易事件
时间 & 地区:2025-04-24 公告,马来西亚
机构类型:Bursa Malaysia 证券交易所 & 若干经纪商
影响:约 80 个个人投资者账户遭到未授权交易,虽人数不大,但直接涉及证券买卖及交易所信誉,是典型“证券市场基础设施”安全事件。
事件过程(简要):
马来西亚证监会(SC)与 Bursa Malaysia 披露,有多名投资者账户被未授权访问,并被用于进行股票买卖。初步调查显示,问题出在部分经纪商端的线上交易系统安全控制不足(例如弱密码、缺乏 MFA、API 安全不当等),而非交易所核心撮合系统被攻破。监管机构要求券商紧急加强身份认证与风控规则,强调对线上交易平台的网络与应用安全需要持续审查。
9.KEP Credit Union 勒索攻击(Qilin)
时间 & 地区:2025-07-16 攻击,07-17 被监测到,库拉索(Curaçao)
机构类型:KEP Credit Union,区域性信用合作社
影响:具体泄露规模未公开,但作为当地重要的银行服务提供者,存在大量存款、贷款和会员信息被泄露的可能,对地区金融稳定和公众信任影响明显。
事件过程(简要):
· Qilin 勒索团伙在其泄露站点与威胁情报渠道上公布 KEP 为受害者,威胁若不谈判将公开所有数据,并给出“即将全量泄露”的警告。
· 多个情报网站将此列入 2025 年金融行业勒索事件清单,泄露规模未知,但足以引发监管关注和客户恐慌。
10.Venture Credit Union 勒索攻击与恢复
时间 & 地区:2025-07-18 完成恢复并公告,加勒比特立尼达和多巴哥
机构类型:Venture Credit Union
影响:核心银行系统被及时阻断,但部分客户个人身份信息被泄露并上传暗网。事件凸显中小金融机构在面对大型勒索团伙时的脆弱性。
事件过程(简要):
· 2025-07-18,Venture Credit Union 发布声明称已从一次勒索攻击中恢复,攻击使用 Qilin(Agenda)家族勒索软件。
· 机构表示,因过去两年持续进行网络防护建设,加上 IT 团队迅速处置,核心银行信息未被攻破,但部分客户的个人文件被窃取并在暗网作为“证明”公开。
· 之后与国际安全专家合作完成取证与恢复,同时向成员承诺继续提升防护水平。
结合上面十个案例,可以看出 2025 年金融证券领域安全事件有几个明显特征:
1.供应链 & 第三方云服务成最大突破口
TransUnion(第三方 Salesforce/应用)、Allianz Life(第三方云 CRM)、Prosper(疑似凭据被盗、云端系统被攻破)、Bank of America(线下文档销毁供应商)等,都不是“核心主机被直接打穿”,而是供应链/外包/云服务被利用。
对金融机构来说,安全边界早已不在自家机房,而是扩展到 SaaS、CRM、呼叫中心、文档处理、营销系统等一长串合作方。
经验教训:
必须把第三方纳入统一的风险管理,包括安全条款、渗透测试、集中日志与监控、定期审计和退出机制。
2.勒索软件 + 双重勒索成为金融业“标配威胁”
Habib Bank、KEP Credit Union、Venture Credit Union 和(可能的)ICICI 事件,都与 Qilin 或 BASHE 等勒索团伙相关。
这些团伙采用“加密 + 数据窃取 + 泄露站点公开样本”的典型双重勒索模式,还利用社交媒体和暗网放风制造舆论压力。
经验教训:
传统“只做备份防勒索”的思路已经不够,数据被窃取本身就是灾难。
需要对外联通的文件服务器、备份系统、域控、邮件等做更强的纵深防御与最小权限控制。
3.高价值数据:身份要素 + 信用信息 = 攻击者最“爱”
Prosper、TransUnion、Allianz、Bank of America 事件中,泄露的核心数据都是:姓名 + 身份证件/SSN + 出生日期 + 联系方式 + 信用状况/收入/贷款信息。
这些数据可以用于:身份盗用、贷款诈骗、精准钓鱼、SIM 换卡、账户接管等一整套犯罪链条,远比单纯的邮箱密码更有价值。
经验教训:
对这类“身份 + 金融画像”数据,应该按“高于银行卡号”的级别来保护:强加密、严格访问控制、脱敏使用、数据最小化留存。
4.证券市场基础设施事件虽“小”,但系统性影响大
Bursa Malaysia 的未授权交易事件,受影响账户只有几十个,但因为直接发生在交易账户和订单层面,属于对市场公信力的核心威胁。
如果同类问题在更多券商或市场爆发,很可能引发“交易结果是否可信”的系统性担忧。
经验教训:
证券类机构要特别重视:线上交易端登录安全(MFA)、设备指纹、行为风控、订单异常检测以及快速“撤单/风控熔断”机制。
5.区域与机构类型的扩散:不再只是大行和华尔街
案例分布于美国、欧洲(瑞士)、印度、马来西亚、加勒比地区等,多数都是监管完善但攻击面复杂的市场。
中小金融机构(区域信用社、合作社)逐渐成为勒索团伙偏爱的“既有钱又相对防护较弱”的目标。
6.舆论与监管的作用被攻击者“反向利用”
BASHE 针对 ICICI 的事件说明,即便实际入侵细节存疑,单靠在暗网挂个倒计时、发几张样本表格,就足以制造市场恐慌和公关危机。
勒索团伙越来越懂得借媒体与社交平台放大影响、促进受害者“就范”。
结合上面这些事件,我们归纳出几条实用的安全建设重点(更偏策略层面):
1.把第三方当成自家系统的一部分来做安全治理
统一第三方安全评估(含云/SaaS/外包)
合同中明确日志留存、入侵通报、渗透测试配合等条款
对接统一 SIEM/SOC 监控,做到“看得见、拉得断”
2.默认对关键系统采用零信任/最小权限 + 强认证
所有生产及运维访问强制MFA / FIDO2
对 CRM、征信接口、核心账户系统实行基于身份与设备的细粒度访问控制
3.勒索场景专门演练与备战
明确:是否、在何种条件下考虑谈判 / 赎金策略
制定“数据泄露而非仅仅加密”场景的危机公关与客户通知流程
定期做红蓝对抗或桌面演练,把备份恢复、业务降级方案走通
4.数据治理:只保存“用得着”的那一份
对历史交易、贷款申请材料等做归档与脱敏,减少在线明文数据池
落实数据分类分级,对含 SSN/身份证号/收入与信用画像的表进行特别保护
5.面向终端客户的安全教育与产品设计
对高净值/高交易频率客户提供更强的登录保护(硬件密钥、交易白名单等)
提前把“发生泄露后你会看到什么邮件/短信通知、你应该做什么”写在官网与 App 中,避免事件发生后“信息真空”。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
