文章总结： 黑客组织ShinyHunters声称窃取越南信用研究所超1.6亿条记录，利用无补丁的N日漏洞入侵已停运软件，数据涵盖全越南人口敏感信息及信用记录。黑客未尝试勒索直接出售，目前越方尚未证实，此次事件是国家级数据安全的重大警示。 综合评分： 74 文章分类： 数据泄露,安全大事件,威胁情报

超1.6亿条记录！黑客组织声称窃取越南全国公民信用数据

安全内参编译 安全内参编译

安全内参

2025年9月11日 17:26 北京

关注我们

带你读懂网络安全

目前已有多个数据泄露监测机构发布消息，越南方面尚未回应。

前情回顾·数据泄露狂潮

• 医疗厂商泄露近240万客户健康信息，赔偿超1.1亿元
• 超1.84亿条账号密码泄露，涉苹果、谷歌、小米等众多知名公司
• 近800万条医护职工敏感信息泄露：因软件厂商关键数据库公网暴露
• 摩洛哥国家社保基金遭网络攻击，近200万民众敏感数据或泄露

安全内参9月11日消息，一些数据泄露事件因受害人数众多而成为全球头条，例如2019年Facebook发生的数据抓取事件，影响了全球5.53亿用户。也有一些事件几乎波及整个国家的人口：2019年，厄瓜多尔因数据库配置错误，导致几乎全国人口信息曝光；2006年，以色列因内部人员泄密，导致几乎全体公民数据外泄；2016年，墨西哥超过75%的选民信息因选民数据库配置错误而泄露；2024年，美国联合健康集团旗下的Change Healthcare公司遭遇勒索软件攻击，超过1.9亿美国人受到影响。

如今，越南也面临类似的情况。黑客组织ShinyHunters声称，他们成功入侵并窃取了越南信用研究所（Credit Institute of Vietnam）超过1.6亿条记录。该机构负责管理越南国家信用信息中心（CIC）。CIC隶属于越南国家银行，是其直属事业单位，承担着国家信用登记职能；负责收集、处理、存储和分析信用信息；预防并降低信用风险；为法人和自然人在境内的信用状况进行评分和评级；并根据国家银行及相关法律规定，向社会提供信用信息产品和服务。

图：黑客论坛上的出售信息

与ShinyHunters有关联的人员在Telegram上炫耀称，越南在“24小时内被攻陷”。与此同时，ShinyHunters还在某黑客论坛上挂出了相关数据的出售信息，并提供了大样本，声称其中包含超过1.6亿条记录，内容“极度敏感”，包括一般个人身份信息（PII）、信用支付记录、风险分析、信用卡信息（需自行解密全磁盘加密算法）、军人证件、政府证件、税务识别号、收入报表、债务信息等。

图：黑客论坛上的数据样本

外媒DataBreaches向ShinyHunters追问更多细节，尤其是数据中涉及多少唯一的个人，因为越南总人口略低于1.02亿。ShinyHunters回应称，数据集中包含历史信息。他们表示自己无法确定涉及多少唯一的个人，但几乎可以肯定已掌握了全国人口的数据。

由于此次事件与ShinyHunters近期的行动风格不太一致，DataBreaches继续追问他们为何选择这一目标以及如何实现入侵。ShinyHunters回答称，他们之所以选择这一目标，是因为其掌握着庞大的数据量。据称，所有数据表的记录总数约在30亿条甚至更多。

他们通过利用一个“N日漏洞”实现了入侵。当被进一步问及该漏洞是否属于CIC本可修补的类型时，ShinyHunters表示并没有可用补丁，因为该软件早已停止维护。

当被问及是否曾向CIC提出勒索或赎金要求时，ShinyHunters明确表示并未尝试，因为他们认为对方根本不会回应。

DataBreaches曾通过电子邮件联系CIC，就相关说法进行求证，但截至发稿时仍未收到回复。如果CIC作出回应，本文将进行更新。不过需要强调的是，目前尚无任何证据能够确认ShinyHunters的说法，尽管其说法表面上看来可信。

此外，还需要注意的是，本文将此次事件归因于ShinyHunters，而非Scattered Spider或Lapsus$。当DataBreaches询问应当归属于哪个组织时，ShinyHunters回应称：“这不是Scattered Spider式的攻击……所以是ShinyHunters。”他们承认确实存在命名上的混乱，但补充说：“我也不知道该如何解决这个名字问题，因为这么多年来大家一直把它们当成两个完全不同的组织。”

参考资料：databreaches.net

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译 安全内参编译《超1.6亿条记录！黑客组织声称窃取越南全国公民信用数据》