文章总结： 西班牙最大电力公司Endesa及其子品牌EnergíaXXI遭入侵，约2200万客户中的部分合同数据被非法访问，含身份、联系、DNI、合同及IBAN信息；黑客已挂售1TBSQL库约2000万条记录，公司封锁账户、通报监管并提醒用户防钓鱼，暂无密码泄露证据。 综合评分： 78 文章分类： 数据泄露,安全大事件,威胁情报,网络安全

西班牙能源巨头Endesa披露数据泄露事件，导致大量客户信息泄露

Rhinoer Rhinoer

犀牛安全

2026年1月24日 00:01 北京

西班牙能源供应商 Endesa 及其 Energía XXI 运营商正在通知客户，黑客入侵了公司的系统并获取了与合同相关的信息，其中包括个人信息。

Endesa是西班牙最大的电力公司，现隶属于Enel集团，为西班牙和葡萄牙超过1000万用户提供天然气和电力。该公司表示，其客户总数约为2200万。

这家能源公司通知了受此次安全漏洞影响的 Energía XXI 客户，并公开披露了这起安全事件，称其商业平台遭到了未经授权的访问。

该公司表示：尽管该公司采取了安全措施，但我们仍检测到未经授权和非法访问我们客户某些与其能源合同相关的个人数据的证据，包括您的数据。

目前的调查显示，黑客可以访问以下类型的数据：

• 基本身份信息
• 联系信息
• 国民身份证号码（DNI）
• 合同详情
• 付款详情，包括 IBAN 账号

Energía XXI 和 Endesa 都明确表示，此次安全事件并未泄露账户密码。

针对此次事件，公司已封锁了受影响的内部账户，导出日志记录以供分析，目前正在通知所有客户。此外，公司已加强监控，以检测进一步的可疑活动。

由于调查仍在进行中，该公司已通知西班牙数据保护局和该国所有相关机构。

Endesa 指出：“截至本次沟通之日，没有证据表明受该事件影响的数据遭到任何欺诈性使用，因此不太可能对您的权利和自由造成高风险影响。”

然而，风险依然存在，信件收件人应警惕身份冒用、数据盗窃和网络钓鱼攻击，并请将任何可疑活动报告至通知中包含的号码。

据称Endesa数据库待售

与此同时，一些网络威胁组织上周公布了他们声称是从Endesa窃取的数据样本，据称包含2000万条记录。这些数据被出售给一位独家买家。

黑客声称拥有约1TB的SQL数据库，其中包含Endesa的客户信息。根据卖家提供的信息，这些数据似乎与Endesa所称的入侵者访问其系统的数据相符。

BleepingComputer 已就这些指控联系了 Energía XXI 和 Endesa，但发言人仅分享了官方声明。

Energía XXI 表示，该事件并未影响其运营或服务，因此客户可以继续享受同等水平的服务，无需承担任何风险。

该公司承诺，如果正在进行的调查发现有关该事件的更多细节，将在未来几天内直接通知受影响的客户。

信息来源：Bleepingcomputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《西班牙能源巨头Endesa披露数据泄露事件，导致大量客户信息泄露》