文章总结： 西班牙电力巨头Endesa约2000万用户核心数据在暗网泄露，含姓名、地址、NIF税号及IBAN银行账号等敏感信息。泄露数据源于核心业务数据库，结构完整且关联性强，极易引发精准金融诈骗。此次事件暴露关键基础设施数据防护短板，建议相关企业立即排查数据库权限，强化敏感数据加密与审计，并建立完善的应急响应机制以防范潜在攻击。 综合评分： 82 文章分类： 数据泄露,安全大事件,威胁情报

西班牙半壁江山告急？2000万国民核心数据在暗网“裸奔”

原创

匿名 匿名

夯磅棱

2026年2月4日 09:27 北京

一个ID为“spain”的用户发布了一份标注为“西班牙最大数据库”的帖子。帖子语气冷静，甚至带有一丝“合作”的诚意——他声称自己手握西班牙最大电力公司Endesa约2000万客户的完整数据，总容量超过1TB，并已主动联系Endesa但未获回应。

“如果他们继续这样，更多信息将会曝光。选择权在他们手中。” 他留下了Telegram联系方式和一个加密数据包的密码，并附上了30万条用户数据的样本，以此证明自己绝非“骗子”。

这个看似寻常的暗网交易帖，其样本数据却触目惊心：完整姓名、详细家庭住址、私人电话号码、个人身份证号、电子邮件，甚至包括银行账户的IBAN码。当这些碎片被拼凑在一起，一张覆盖西班牙近半人口的数字画像，正在被明码标价。

01 事件概述：不止于2000万的数字

根据威胁行为者“spain”在BreachForums等暗网论坛的帖子，其宣称掌握了约2000万用户的数据，数据库总大小精确到字节：1，193，800，646，656 字节，即约1.1 TB。

这一数据量的意义，远超一个抽象的数字。西班牙全国人口约4700万，2000万的用户量级意味着，潜在受影响人口可能接近全国一半。对于Endesa这样一家在西班牙能源市场占据主导地位的公司而言，其客户数据库几乎等同于一份国家级的人口与经济地理核心档案。

媒体在报道此类事件时，常聚焦于“2000万”这个冲击性数字，却容易忽略数据本身的“质量”与“结构”。这1.1TB并非杂乱无章的文本堆砌，而是高度结构化、字段清晰的关系型数据库导出文件。

从泄露的SQL插入语句样本可见，每条记录都遵循严格的模式。这种有序性，恰恰放大了泄露的破坏力——它意味着数据可以被轻易地批量导入、查询、关联和分析，为后续的大规模精准攻击铺平了道路。

02 泄露主体：能源巨头的“阿喀琉斯之踵”

Endesa是西班牙最大的电力公司，也是伊比利亚半岛和拉丁美洲能源市场的主要参与者。作为一家关键基础设施运营者，其网络安全态势不仅关乎商业机密，更直接关系到国民生活的稳定与社会安全。

威胁行为者“spain”在帖子中透露了一个关键细节：“我已通过电子邮件联系Endesa，但他们尚未回应。” 这一表述，与其“愿意合作、删除数据”的声明相结合，塑造了一种“被迫公开”的叙事，试图将舆论压力引向企业的“傲慢”或“不作为”。

从技术角度看，能够导出总量达1.1TB、结构完整的客户数据库，暗示了可能存在严重的内部安全漏洞。这并非简单的网站渗透，而更可能是对核心业务数据库的直接访问权限失守。

涉及的数据库表名为“Account”，字段名如“FII_ACC_FOR_DNI__c”（税务身份标识）、“IBAN__c”（国际银行账户号码）等，带有明显的自定义对象特征，疑似源于 Salesforce 或其他CRM（客户关系管理）平台。

这指向了一个令人不安的可能性：攻击者可能并非从外围攻破，而是触及了存储客户核心信息的业务中枢系统。Endesa作为行业巨头，其数据安全管理体系在此次事件中面临严峻拷问。

03 数据关联性分析：

此次泄露数据的真正恐怖之处，在于其字段的完整性与高度的可关联性。每一条记录都不是孤立的信息点，而是一组可以互相验证、交叉索引的“关联键”。我们根据数据样本，梳理出以下核心风险字段：

| 风险等级 | 数据字段 | 关键含义与潜在用途 | | — | — | — | | 🔴 极高风险 | FII_ACC_FOR_DNI__c (标识号) | 包含西班牙NIF（个人税号）或护照号。这是西班牙社会中最核心、唯一的个人身份标识，可用于金融诈骗、冒名顶替、税务犯罪等。 | | 🔴 极高风险 | IBAN__c (银行账号) | 完整的国际银行账户号码。结合身份信息，可直接用于试图发起未经授权的转账或进行精准的钓鱼攻击。 | | 🟠 高风险 | MobilePhone1__c / Licensed_Phone__c (手机号) | 私人联系方式。是实施电信诈骗、发送钓鱼短信、进行SIM卡交换攻击的直接通道。 | | 🟠 高风险 | BillingStreet / BillingCity (账单地址) | 精确物理住址。不仅侵犯隐私，还可能结合其他信息用于实地欺诈、骚扰或人身安全威胁。 | | 🟠 高风险 | Email_con__c (联系邮箱) | 电子身份枢纽。可用于撞库攻击（尝试登录其他平台）、发送定向钓鱼邮件、进行社会工程学欺诈。 | | 🟡 中风险 | CUPS (统一电力供应点代码) | 西班牙电力系统的唯一接入点标识。可能被用于伪装客户进行服务变更、欺诈性合同操作或分析用电模式。 |

这些字段绝非简单并列。试想这样一个攻击链条：攻击者获得一份包含“张三，NIF号为XXXXX，住址在马德里某街，电话是6XXXXXXXX，邮箱是[email protected]，IBAN号为ESXX…”的记录。

他可以用邮箱和电话在社交网络进行反向搜索，丰富“张三”的社交画像；用NIF号尝试攻击社保、税务等政府服务网站；用IBAN和住址信息伪造来自银行或Endesa本身的极具迷惑性的钓鱼信件或电话；甚至可以利用CUPS代码，结合窃取的邮箱，向Endesa发起“账户接管”攻击，篡改电费账单的收款账户。

这已不是数据泄露，而是为大规模、自动化、个性化的网络犯罪提供了“原料富矿”。威胁行为者声称数据“新鲜且从未公开”，若属实，其在地下市场的价值将成倍增长。

04 深层思考：关键基础设施的“数据灾难”

Endesa数据泄露事件，为我们敲响了一记刺耳的警钟。它暴露了在数字化转型浪潮下，关键基础设施运营商所承载的超负荷数据风险。

能源、金融、医疗等行业的核心企业，在为社会提供基础服务的同时，也汇聚了海量国民最敏感的数据。这些数据一旦泄露，造成的危害将呈指数级扩散，从个人财产损失，蔓延至社会信任危机，甚至国家安全威胁。

威胁行为者“spain”表现出的“策略性”也值得深思：主动联系受害公司、在论坛营造“独家真实性”、将泄露归咎于对方“不回应”。这种“亦盗亦商”、试图掌握道德叙事权的行为模式，正在成为新一代勒索黑客的标配。

它模糊了纯粹的犯罪与“黑客行动主义”的边界，使得企业应对起来更加棘手——支付赎金可能助长犯罪，不予回应则面临数据被公开或转卖的风险，而公众舆论的压力往往倒向“保护用户”这一边。

对于Endesa和数百万西班牙用户而言，漫长的补救之路才刚刚开始：从通知监管机构和用户，到提供信用监控服务，再到从技术底层重构安全体系。而更残酷的真相是，在暗网的某个角落，这2000万份数字灵魂的副本，可能已被永久存档，随时准备被激活。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱 匿名 匿名《西班牙半壁江山告急？2000万国民核心数据在暗网“裸奔”》