2025 年國外金融證券領域十大安全事件回顧

2025年金融證券行業遭遇前所未有的安全挑戰。十大典型事件累計影響超過3000萬用戶，涵蓋借貸平臺、征信機構、保險巨頭、銀行與證券交易所等核心金融基礎設施。

攻擊特征呈現三大趨勢：供應鏈成為主要突破口，TransUnion、Allianz等機構均因第三方云服務或外包商漏洞失陷;雙重勒索模式盛行,Qilin等團伙竊取TB級數據后利用暗網施壓;身份與信用數據成為核心目標,姓名、社保號、收入狀況等高價值信息可支撐完整犯罪鏈條。

地域與規模雙重擴散值得警惕：攻擊已從華爾街延伸至印度、馬來西亞、加勒比等新興市場，中小金融機構因"有錢且防護弱"成為重點目標。即便Bursa Malaysia僅80個賬戶受損,但直擊交易系統公信力,凸顯證券基礎設施的系統性風險。

應對之策需聚焦：將第三方納入統一安全治理、部署零信任架構、演練勒索場景、實施數據最小化留存,并強化客戶端安全教育。金融機構的安全邊界已徹底重構——從機房延伸至整個生態鏈。

1.Prosper 借貸平臺數據泄露（約 1,760 萬人）

• 時間 & 地區：2025-09-02 發現，美國

• 機構類型：P2P 在線借貸平臺（Prosper Marketplace）

• 影響：泄露超過 1,760 萬人的個人和金融信息，是今年金融領域規模最大的單一數據泄露之一。

事件過程（簡要）：

攻擊者入侵 Prosper 系統后，訪問了大量客戶數據。根據 Prosper 自身通告與 HaveIBeenPwned 的統計，約 1,760 萬唯一郵箱地址受影響，其中約 280 萬此前未出現在任何已知數據泄露中。泄露數據包括姓名、政府簽發身份證號、出生日期、住址、就業與收入狀況、信用狀態、IP 地址、瀏覽器 UA 等高度敏感信息。平臺稱未見到賬戶資金被直接竊取，但被迫向受害者提供信用監控與加強監測。

2.TransUnion 信用報告巨頭數據泄露（約 440 萬人）

• 時間 & 地區：2025-07-28 發生，07-30 發現，美國

• 機構類型：三大征信機構之一 TransUnion

• 影響：約 440 萬名客戶的個人信息（含 SSN）被竊取，雖然不算人數最大的，但因為是全國征信核心基礎設施，系統性風險很高。

事件過程（簡要）：

攻擊者通過一個為 TransUnion 美國消費者支持服務提供支撐的第三方應用實現未授權訪問，被認為與一系列針對 Salesforce 環境的攻擊有關，勒索團伙 ShinyHunters 被多方指認為幕后黑手。被竊數據包括姓名、出生日期、社會安全號等身份核心要素，官方強調“核心征信數據庫未被訪問”，但泄露的信息已經足以支撐大規模身份盜用與精準釣魚。TransUnion 正向受害者提供兩年信用監控服務。

3.Prosperity（Allianz Life 北美壽險）CRM 供應鏈數據泄露（約 140 萬人）

• 時間 & 地區：2025-07-16 入侵，07-17 發現，美國

• 機構類型：Allianz Life（安聯北美壽險，全球保險巨頭子公司）

• 影響：約 140 萬客戶、理財顧問和員工個人信息暴露，屬于頭部保險業供應鏈攻擊案例之一。

事件過程（簡要）：

攻擊者通過 社工獲取憑據，入侵 Allianz 使用的第三方云端 CRM 系統，而并非直接攻入 Allianz 內部網絡。受影響數據包含絕大多數 Allianz Life 客戶和部分從業人員的個人識別信息（PII）。公司稱核心內部系統與網絡未被攻破，但必須大規模通知客戶并配合監管披露。此案典型體現了金融機構對云端業務系統和供應商的高度依賴以及相應的攻擊面。

4.Prosper Marketplace 之外：Bank of America 文檔銷毀供應商泄露事件（“數百萬賬戶存在風險”）

• 時間 & 地區：2024-12-30 發生，2025-03-10 公告，美國

• 機構類型：美國銀行 Bank of America（BOA）

• 影響：官方披露強調“部分客戶確認受影響”，但多家安全媒體指出可能波及“數百萬賬戶”，敏感程度極高。

事件過程（簡要）：

一間負責 紙質機密文件銷毀的第三方供應商在運輸過程中未妥善保護材料，部分銀行文檔從密封容器中掉落到金融網點外部被發現。相關文檔包含姓名、社保號、賬戶資料、聯系方式、地址、出生日期等敏感信息。此前在 2025 年 1 月還有一次涉及 400 余名客戶的小規模第三方失誤事件，這次“重演”進一步暴露大型銀行在線下文檔與第三方管理上的薄弱環節。

5.瑞士 Habib Bank AG Zurich 勒索攻擊（2.56 TB 銀行業數據）

• 時間 & 地區：Qilin 勒索團伙 2025-11-05 在暗網上掛出，銀行 11-11 確認事件，瑞士/全球

• 機構類型：Habib Bank AG Zurich，擁有 500+ 網點的跨國銀行

• 影響：勒索團伙聲稱竊取 2.56 TB 數據，包括大量銀行業務與客戶資料，雖然確切受影響人數未披露，但從數據體量和銀行體量看，影響極大。

事件過程（簡要）：

Qilin 勒索團伙在其數據泄漏站點公布 Habib Bank AG Zurich 為受害者并聲稱偷走 2.56 TB 數據。銀行在較長時間沉默后于 11 月確認存在“未授權外部訪問企業網絡”，稱銀行服務保持正常，正在與取證和安全專家合作評估暴露數據范圍，目前未確認是否支付贖金。研究顯示 2025 年已有 80+ 起銀行和金融機構勒索事件被記載，Qilin 對金融行業尤其“偏好”。

6.Angel One 印度互聯網券商 AWS 資源入侵（最多 800 萬用戶記錄受威脅）

• 時間 & 地區：2025-02-27 發現，2025-03-01 披露，印度

• 機構類型：Angel One，印度頭部線上券商/投資平臺

• 影響：多方安全報道稱，泄露可能涉及高達 800 萬用戶的個人數據，雖公司強調資金和證券賬戶未受損，但對隱私和品牌打擊很大。

事件過程（簡要）：

Angel One 的部分 AWS 云資源被未授權訪問，起因是暗網監測合作伙伴發現疑似泄露數據發布。公司隨后確認部分云資源遭入侵，迅速重置相關憑據、啟用取證調查，并強調沒有資金、證券或登錄憑據被竊取。攻擊者在多個黑客論壇上聲稱掌握大量 Angel One 客戶數據，引發輿論壓力。事件本質上是云資產管理與訪問控制問題，非常典型。

7.ICICI Bank 被 BASHE 勒索團伙“宣稱”攻破（高風險、但尚未完全核實）

• 時間 & 地區：2025-01-22～24 曝光，印度

• 機構類型：ICICI Bank，印度第二大商業銀行

• 影響：BASHE 勒索團伙聲稱竊取 數 TB 級別敏感客戶數據，包含信用卡類型、余額等信息，并設置 2025-01-24 贖金最后期限。銀行官方長期未確認，部分媒體認為存在“夸大或虛構”嫌疑，但事件本身對金融體系信心的沖擊極大。

事件過程（簡要）：

· BASHE（APT73）在其暗網泄露站公布 ICICI 為受害者，發布數據樣本與倒計時，威脅逾期公開全部數據。

· 泄露樣本中包含姓名、電話、住址、性別、信用卡類型及疑似余額等字段。

· 多家安全媒體和研究機構跟進報道，稱這是 BASHE 針對印度金融機構的一次高調行動。

· 印度媒體后續調查發現該組織此前對其他銀行也有“虛假或夸大戰果”歷史，因此這一事件更多被視作高風險情報，而非完全坐實的數據泄露。

從安全運營角度來看，即便未百分百確認，也會被當成重大安全事件處理，包括重置憑據、監測黑市數據、加強 SOC 監控等。

8.馬來西亞交易所（Bursa Malaysia）線上交易賬戶未經授權交易事件

• 時間 & 地區：2025-04-24 公告，馬來西亞

• 機構類型：Bursa Malaysia 證券交易所 & 若干經紀商

• 影響：約 80 個個人投資者賬戶遭到未授權交易，雖人數不大，但直接涉及證券買賣及交易所信譽，是典型“證券市場基礎設施”安全事件。

事件過程（簡要）：

馬來西亞證監會（SC）與 Bursa Malaysia 披露，有多名投資者賬戶被未授權訪問，并被用于進行股票買賣。初步調查顯示，問題出在部分經紀商端的線上交易系統安全控制不足（例如弱密碼、缺乏 MFA、API 安全不當等），而非交易所核心撮合系統被攻破。監管機構要求券商緊急加強身份認證與風控規則，強調對線上交易平臺的網絡與應用安全需要持續審查。

9.KEP Credit Union 勒索攻擊（Qilin）

• 時間 & 地區：2025-07-16 攻擊，07-17 被監測到，庫拉索（Cura?ao）

• 機構類型：KEP Credit Union，區域性信用合作社

• 影響：具體泄露規模未公開，但作為當地重要的銀行服務提供者，存在大量存款、貸款和會員信息被泄露的可能，對地區金融穩定和公眾信任影響明顯。

事件過程（簡要）：

· Qilin 勒索團伙在其泄露站點與威脅情報渠道上公布 KEP 為受害者，威脅若不談判將公開所有數據，并給出“即將全量泄露”的警告。

· 多個情報網站將此列入 2025 年金融行業勒索事件清單，泄露規模未知，但足以引發監管關注和客戶恐慌。

10.Venture Credit Union 勒索攻擊與恢復

• 時間 & 地區：2025-07-18 完成恢復并公告，加勒比特立尼達和多巴哥

• 機構類型：Venture Credit Union

• 影響：核心銀行系統被及時阻斷，但部分客戶個人身份信息被泄露并上傳暗網。事件凸顯中小金融機構在面對大型勒索團伙時的脆弱性。

事件過程（簡要）：

· 2025-07-18，Venture Credit Union 發布聲明稱已從一次勒索攻擊中恢復，攻擊使用 Qilin（Agenda）家族勒索軟件。

· 機構表示，因過去兩年持續進行網絡防護建設，加上 IT 團隊迅速處置，核心銀行信息未被攻破，但部分客戶的個人文件被竊取并在暗網作為“證明”公開。

· 之后與國際安全專家合作完成取證與恢復，同時向成員承諾繼續提升防護水平。

結合上面十個案例，可以看出 2025 年金融證券領域安全事件有幾個明顯特征：

1.供應鏈 & 第三方云服務成最大突破口

• TransUnion（第三方 Salesforce/應用）、Allianz Life（第三方云 CRM）、Prosper（疑似憑據被盜、云端系統被攻破）、Bank of America（線下文檔銷毀供應商）等，都不是“核心主機被直接打穿”，而是供應鏈/外包/云服務被利用。

• 對金融機構來說，安全邊界早已不在自家機房，而是擴展到 SaaS、CRM、呼叫中心、文檔處理、營銷系統等一長串合作方。

經驗教訓：
必須把第三方納入統一的風險管理，包括安全條款、滲透測試、集中日志與監控、定期審計和退出機制。

2.勒索軟件 + 雙重勒索成為金融業“標配威脅”

• Habib Bank、KEP Credit Union、Venture Credit Union 和（可能的）ICICI 事件，都與 Qilin 或 BASHE 等勒索團伙相關。

• 這些團伙采用“加密 + 數據竊取 + 泄露站點公開樣本”的典型雙重勒索模式，還利用社交媒體和暗網放風制造輿論壓力。

經驗教訓：

• 傳統“只做備份防勒索”的思路已經不夠，數據被竊取本身就是災難。

• 需要對外聯通的文件服務器、備份系統、域控、郵件等做更強的縱深防御與最小權限控制。

3.高價值數據：身份要素 + 信用信息 = 攻擊者最“愛”

• Prosper、TransUnion、Allianz、Bank of America 事件中，泄露的核心數據都是：姓名 + 身份證件/SSN + 出生日期 + 聯系方式 + 信用狀況/收入/貸款信息。

• 這些數據可以用于：身份盜用、貸款詐騙、精準釣魚、SIM 換卡、賬戶接管等一整套犯罪鏈條，遠比單純的郵箱密碼更有價值。

經驗教訓：

對這類“身份 + 金融畫像”數據，應該按“高于銀行卡號”的級別來保護：強加密、嚴格訪問控制、脫敏使用、數據最小化留存。

4.證券市場基礎設施事件雖“小”，但系統性影響大

• Bursa Malaysia 的未授權交易事件，受影響賬戶只有幾十個，但因為直接發生在交易賬戶和訂單層面，屬于對市場公信力的核心威脅。

• 如果同類問題在更多券商或市場爆發，很可能引發“交易結果是否可信”的系統性擔憂。

經驗教訓：

證券類機構要特別重視：線上交易端登錄安全（MFA）、設備指紋、行為風控、訂單異常檢測以及快速“撤單/風控熔斷”機制。

5.區域與機構類型的擴散：不再只是大行和華爾街

• 案例分布于美國、歐洲（瑞士）、印度、馬來西亞、加勒比地區等，多數都是監管完善但攻擊面復雜的市場。

• 中小金融機構（區域信用社、合作社）逐漸成為勒索團伙偏愛的“既有錢又相對防護較弱”的目標。

6.輿論與監管的作用被攻擊者“反向利用”

• BASHE 針對 ICICI 的事件說明，即便實際入侵細節存疑，單靠在暗網掛個倒計時、發幾張樣本表格，就足以制造市場恐慌和公關危機。

• 勒索團伙越來越懂得借媒體與社交平臺放大影響、促進受害者“就范”。

結合上面這些事件，我們歸納出幾條實用的安全建設重點（更偏策略層面）：

1.把第三方當成自家系統的一部分來做安全治理

• 統一第三方安全評估（含云/SaaS/外包）

• 合同中明確日志留存、入侵通報、滲透測試配合等條款

• 對接統一 SIEM/SOC 監控，做到“看得見、拉得斷”

2.默認對關鍵系統采用零信任/最小權限 + 強認證

• 所有生產及運維訪問強制MFA / FIDO2

• 對 CRM、征信接口、核心賬戶系統實行基于身份與設備的細粒度訪問控制

3.勒索場景專門演練與備戰

• 明確：是否、在何種條件下考慮談判 / 贖金策略

• 制定“數據泄露而非僅僅加密”場景的危機公關與客戶通知流程

• 定期做紅藍對抗或桌面演練，把備份恢復、業務降級方案走通

4.數據治理：只保存“用得著”的那一份

• 對歷史交易、貸款申請材料等做歸檔與脫敏，減少在線明文數據池

• 落實數據分類分級，對含 SSN/身份證號/收入與信用畫像的表進行特別保護

5.面向終端客戶的安全教育與產品設計

• 對高凈值/高交易頻率客戶提供更強的登錄保護（硬件密鑰、交易白名單等）

• 提前把“發生泄露后你會看到什么郵件/短信通知、你應該做什么”寫在官網與 App 中，避免事件發生后“信息真空”。

合作電話：18311333376

合作微信：aqniu001

聯系郵箱：bd@aqniu.com