文章总结： 印度北方邦电力公司UPPCL遭黑客入侵，约130万用户敏感数据在暗网泄露，含姓名、手机、地址及地理坐标等。数据源于其内部计费或CRM系统，可被用于精准诈骗、身份盗用，并威胁关键基础设施安全。建议用户警惕陌生来电，并敦促UPPCL尽快启动安全审计与法定通报程序。 综合评分： 88 文章分类： 数据泄露,威胁情报

印度北方邦电力公司UPPCL大规模用户数据泄露

网空闲话

网空闲话plus

2025年11月18日 07:38 北京

【2025年11月18日威胁情报监测】暗网论坛DarkForums上一名自称“888”的黑客发布帖文，宣称已成功入侵印度北方邦电力公司（Uttar Pradesh Power Corporation Limited, UPPCL）内部数据库，并公开提供约77MB的完整数据集下载。经验证，相关链接可实际下载，压缩包内为一csv结构化数据文件，内容高度敏感且真实可信。

泄露数据总量覆盖约130万电力用户，字段极为详尽，包括：用户全名（NAME_NP）、父亲姓名（FATHER_NAME_NP）、账户ID（ACCT_ID）、手机号码（MOBILE_NO）、服务状态（CON_STATUS）、用电类型（POSTPAID）、负荷容量（LOAD）、计量单位（LOAD_UNIT）、配电区域（DISTRICT）、城镇（TOWN）、精确地理坐标（LAT/LON）、完整地址（ADDRESS）、所属变电站（SUBSTATION）及馈线编号（FEEDER_ID）等。部分记录甚至包含内部系统版本号（version）和AMISPCD编码，表明攻击者可能已深入其计费或客户关系管理系统（CRM）。

此类信息一旦被恶意利用，不仅可实施精准电信诈骗、冒充电力工作人员上门行骗，还可能结合其他泄露数据构建完整的个人画像，用于身份盗用、金融欺诈甚至物理定位跟踪。更令人担忧的是，UPPCL作为关键基础设施运营商，其系统若存在未修补漏洞（如Web应用注入、API接口暴露或员工凭证复用），可能成为攻击者进一步渗透政府网络或能源控制系统的跳板。

目前UPPCL尚未发布官方安全通告。鉴于事件涉及公共事业与大规模公民隐私，建议受影响用户立即警惕陌生来电、短信及邮件，切勿向不明身份人员提供账户或验证码信息；同时呼吁UPPCL尽快启动GDPR及印度《数字个人数据保护法》（DPDPA 2023）下的强制通报程序，并对全系统进行安全审计与访问控制加固。

关于UPPCL

UPPCL是印度北方邦政府主导电力改革后设立的核心公用事业企业，负责该邦全域的电力传输与配电业务，年营收超过82亿美元。公司以“可靠、经济、透明”为宗旨，致力于通过先进技术与专业化管理，为超过2亿人口提供不间断优质电力服务。作为原北方邦电力局（UPSEB）公司化改革的关键成果，UPPCL整合了配电职能，目标是实现能源行业商业化运营，减轻财政负担，并推动社会经济发展。其治理框架强调客户权益、员工发展、股东回报与监管合规，此次大规模数据泄露事件对其“安全可信”的公共服务承诺构成严重冲击，也凸显关键基础设施在数字化进程中亟需强化网络安全韧性。

参考资源

1、UPPCL Data Breach – Leaked, Download!

2、https://uppcl.org/uppcl/en/page/mission-vision-statement