暗网数据泄露信息（2025年11月12日）

1、法国政府服务机构 Resana 数据泄露

11 月 10 日，威胁行为者“intelx”正在出售法国政府跨部门协作平台 Resana 的数据库，包括全名、电子邮件、个人电话号码、工作电话号码、组织、日期等。

2、印度尼西亚最高法院管理员访问权出售

11 月 11 日，威胁行为者“yeestge33”以 1000 美元的价格出售印度尼西亚最高法院（https://putusan.mahkamahagung）管理员访问权。

3、哥伦比亚国家公务员委员会数据泄露

11 月 11 日，威胁行为者“kazu”以 30 万美元赎金勒索哥伦比亚国家公务员委员会（cnsc.gov.co），泄露的数据共 2.9 TB，包括 9252093 份文件。

4、人员数据实验室 4.16 亿数据转储

11 月 11 日，威胁行为者“Tanaka”转储了 2019年泄露的人员数据实验室（PeopleData Labs）的 4.16 亿用户数据，包括电子邮件地址、电话号码、社交媒体个人资料、工作经历等。

5、俄罗斯数据库集合转储

11 月 11 日，威胁行为者“fuoxo”转储了 410GB 泄露和被黑客窃取的俄罗斯数据合集，包括从 Yandex、Sberbank 等俄罗斯公司以及政府机构窃取的各种信息。其中包含客户详情、内部文件和大量个人信息。

6、哥伦比亚国家公务员委员会(CNSC)2.9TB数据泄露

攻击者:Kazu

日期:2025年11月11日

国家:哥伦比亚

攻击者Kazu在暗网上发布消息，声称将泄露2.9 TB的数据，这些数据据称来自哥伦比亚国家公务员委员会(CNSC)。CNSC是哥伦比亚国家公共行政部门负责招聘、选拔和雇佣的机构。

CTI洞察:

这是一起大规模的政府数据泄露事件，可能是近年来哥伦比亚公共部门最大的数据泄露事件之一。

演员 Kazu 此前曾因在拉丁美洲地区发布与基础设施攻击相关的帖子而为人所知，此次数据泄露事件符合政府机构数据泄露的模式，攻击手段通常是利用配置错误的存储库(例如AWS S3)或基于Zimbra的内部邮件系统——这两种攻击方式此前均在该地区出现过。

影响与风险评估:

国家级风险:哥伦比亚国家安全委员会(CNSC)维护着数十万哥伦比亚公共部门申请人和雇员的数据库。

7、巴西联邦税务局900GB数据泄露

攻击者:yeestge33

日期:2025年11月10日

国家:巴西

一个名为yeestge33的攻击者公开出售据称属于巴西联邦税务局(Receita Federal do Brasil，简称RFB)的900GB数据。RFB是巴西的国家税务和海关机构。该信息显示，RFB拥有庞大的财政和公民数据存储库，如果属实，这将是巴西历史上规模最大的政府数据泄露事件之一。

CTI洞察:

如果此次泄露事件属实，将构成严重的国家级安全隐患，影响公民的财务隐私和机构的诚信。

像yeestge33这样的攻击者通常与数据经纪网络而非勒索软件运营商有关——他们将数据集出售给第三方，后者随后进行有针对性的金融欺诈、勒索或凭证篡改。

此次事件延续了2025年11月拉丁美洲国家级泄密事件的升级趋势，与此前乌拉圭、厄瓜多尔和巴西军方的数据泄露事件类似，但规模更大。

影响与风险评估:

战略层面:可能削弱公众对巴西数字税收系统和公共电子服务的信任。

运营层面:可能助长大规模身份盗窃、欺诈或逃税活动。

8、巴西陆军Centro Integrado de Telematicado Exército(陆军综合远程信息处理中心)系统遭入侵

攻击者:freshtools

日期:2025年11月10日

国家:巴西

一个名为freshtools攻击者，声称可以获取巴西陆军中央远程信息处理中心(Centro Integrado de Telematicado Exército)的内部访问权限。

该帖子似乎与此前归咎于同一卖家集团的政府Zimbra基础设施漏洞事件相符，该集团自2025年10月以来一直在分发拉丁美洲公共部门凭证。

CTI洞察:

此事件进一步证实了持续存在的拉丁美洲政府Zimbra漏洞利用集群，该集群利用Zimbra Collaboration Suite中的已知漏洞(CVE-2025-37493、CVE-2025-38214)入侵了多个政府部委和国防相关机构。

freshtools正在崛起为一家区域性经纪商，其业务是聚合和出售对关键政府网络的凭证级访问权限，而非部署勒索软件。

影响与风险:

国家安全隐患:军事通信访问权限可能泄露敏感的作战数据，或使针对指挥机构的网络钓鱼攻击成为可能。

基础设施风险:由于巴西军队电信部门内部的网络互联，可能存在跨域入侵的风险。

战略相关性:与非破坏性网络间谍活动和向高级威胁组织转售凭证的模式相一致。

9、墨西哥临床实验室数据库泄露

攻击者:icaro

日期:2025年11月11日

国家:墨西哥

攻击者icaro在暗网市场发布的帖子泄露了多个临床实验室数据库及其对应的安全漏洞，这些漏洞影响着墨西哥北部一家医疗公司。

该攻击者明确表示拥有数据库凭证、访问路径以及一个正在运行的Web漏洞，潜在攻击者可以利用这些漏洞提取患者诊断数据并访问管理后台。

CTI洞察:

该帖子结合了数据泄露和漏洞情报，表明icaro同时扮演着数据泄露中介和漏洞卖家的角色——这在拉丁美洲地下市场是一种常见的双重角色。

鉴于数据库命名规则和对phpMyAdmin的引用，受影响的基础设施可能使用了过时的PHP/MySQL CMS环境，容易受到SQL注入或凭证重用攻击。

泄露迹象(IOC)模式一致性:

与其他拉丁美洲医疗或公共服务数据库泄露事件共享命名结构。

10、美国VIX流媒体平台(TelevisaUnivision)数据库泄露

攻击者:icaro

日期:2025年11月10日

国家:美国

攻击者icaro发布了疑似来自VIX流媒体平台的数据库泄露信息。VIX是TelevisaUnivision旗下的一家大型西班牙语流媒体服务公司。此次泄露涉及用户和平台数据，表明应用程序或用户数据库基础设施可能遭到入侵。

泄露特征:

攻击者发布了内部仪表盘的屏幕截图。

元数据中可见对生产服务器和CDN端点的引用。

数据以SQL转储和JSON日志的形式呈现。

CTI分析:

此次事件与2025年第四季度出现的”媒体流泄露”趋势相符——针对OTT和内容分发网络的泄露事件激增。攻击者icaro此前曾与娱乐和电信服务数据泄露事件有关，通常涉及被盗用的云凭证或配置错误的Firebase后端。

VIX事件凸显了针对混合云流媒体生态系统的持续威胁活动，尤其是那些在内容分发、广告和订阅系统之间共享身份验证层的生态系统。

此类泄露事件可能会暴露用户个人身份信息(PII)和平台访问令牌，从而为欺诈性登录和盗版活动提供可乘之机。

影响与风险:

PII泄露:拉丁美洲和美国地区的客户数据可能被泄露。

技术风险:利用泄露的API密钥或令牌可能会中断服务运营。

监管风险:可能违反美国和拉丁美洲的数据隐私法(例如，CPRA、LGPD)。

来源：暗网论坛，OSXINT。