文章总结： 2026年1月6日至2月5日期间，美国网络空间遭遇大规模数据泄露浪潮，共监测到79起安全事件，涉及60个威胁行为者，泄露数据总量超270亿条。攻击呈现明显的长尾分布，jrintel、Sythe和888为最活跃的三名攻击者。政府机构遭受攻击18次居首，金融保险10次、国防军事8次。主要攻击形式为数据泄露（82.3%），BreachForums和darkforums为主要交易平台，呈现明码标价、订阅制、担保交易等成熟商业化特征。典型事件包括Affirm2670万用户数据被售、哈佛大学百万记录泄露及波音雷神国防承包商信息泄露，反映出美国公民数字身份面临全面失控风险，网络安全已成为国家安全核心议题。 综合评分： 85 文章分类： 威胁情报,数据泄露,安全大事件,漏洞分析,网络安全

美国网络地下经济揭秘：60个威胁组织活跃，超270亿条公民数据暗网“裸奔”

原创

匿名 匿名

夯磅棱

2026年2月9日 09:09 北京

引言 过去一个月（2026年01月06日至02月05日），美国网络空间遭遇了一场密集的“数据风暴”。根据对全球主要暗网及数据泄露论坛的持续监控，我们共记录到79起针对美国实体的安全事件，涉及60个不同的威胁行为者。泄露数据总量惊人，仅公开宣称的部分就远超270亿条，意味着理论上每个美国公民的敏感信息可能被反复暴露多次。政府机构、国防军工与金融科技成为黑客集中火力的重灾区。本文旨在深度剖析此次威胁浪潮，揭示其背后的运作模式与潜在风险。

01 整体态势概览：数据海啸与靶心转移

在统计的31天内，平均每天发生2.5起公开的安全事件，网络犯罪活动极为猖獗。

数据泄露规模触目惊心：本次监测到的泄露数据总量极为庞大。仅BottleHead声称的“27亿条美国居民记录”、shinymontanna发布的“Live Nation 12亿用户数据”以及datavampire售卖的“Affirm 2670万条记录”等几起大型事件，涉及数据量已远超美国3.3亿的总人口。这不仅是数量的堆积，更意味着数据被多源聚合、反复转卖，公民数字身份面临全面失控的风险。

威胁行为者高度分散：共有60个不同的威胁行为者参与其中，但呈现出明显的“长尾分布”。排名第一的“jrintel”参与了5起事件，而超过80%（49个）的行为者仅出现了1次。这表明攻击门槛降低，黑产工具普及，导致“单次作案”或使用“马甲”的个体黑客激增。

攻击类型分布：数据泄露是最主要的攻击形式，占总事件的绝大多数。具体细分如下：

• 数据/数据库泄露：65起，占比约82.3%。这是最常见的攻击结果，直接导致大量信息流入黑市。
• 数据售卖：3起，占比约3.8%。指明确以商品形式标价出售访问权限或数据包。
• 初始访问售卖：2起，占比约2.5%。即出售已被攻陷系统的后台权限，危害性极大。
• 勒索攻击：1起，占比约1.3%。直接以加密数据、破坏系统为要挟索要赎金。
• 源码泄露：1起，占比约1.3%。涉及企业核心知识产权。

行业影响分析：攻击目标覆盖广泛，但政府与关键部门承受了最大压力。

• 政府机构：遭受攻击18次，位居首位。从联邦调查局（FBI）、美国政府出版局（GPO）到阿肯色州、加州等地方政府网站均未能幸免，大量内部文件、员工信息甚至所谓“绝密”文件被泄露。
• 金融与保险：遭受攻击10次。涵盖银行（美国银行）、金融科技（Affirm、Robinhood）、支付平台及保险行业，社会安全号码（SSN）、信用卡信息等核心金融数据大量外泄。
• 医疗保健：遭受攻击5次。患者医疗记录、处方信息等高度敏感的健康数据成为目标。
• 教育：遭受攻击4次。哈佛大学百万级数据泄露事件最为突出。
• 国防军事与执法：合计遭受攻击8次。波音、雷神等国防承包商，以及海军、执法学院的数据泄露，直接威胁国家安全。

02 主要威胁行为者分析：黑产生态的面孔

TOP3 威胁行为者画像：

1. jrintel (5起事件)：高危害等级。其特点是目标高端，专门针对政府、国防、情报机构及大型科技公司（如Robinhood、波音、雷神）。活动高度依赖Telegram进行运营和通信，在暗网论坛发帖时附带叙事性描述，具有强烈的炫耀和影响力塑造意图。其商业化程度高，提供样品、议价等全套服务，疑似是一个有组织的、专注于高价值情报窃取与贩卖的团伙。
2. Sythe (4起事件) 与 888 (4起事件)：活跃的“论坛常客”。二者均在BreachForums等主流犯罪论坛高度活跃。Sythe的攻击目标较为分散（政府、执法、商业）；而888则表现出对源代码的特别偏爱（如斑马技术公司源码），攻击手法包括直接入侵和供应链攻击，并明确要求门罗币支付，技术性较强，商业化运作模式清晰。

暗网活跃度与商业模式：

核心论坛：breachforums、darkforums 是事件披露的主要平台。特别是breachforums.bf，承载了近一半的事件发帖，是当前英语黑产社区的“信息集散中心”。

• 商业化特征显著：

• 明码标价：如datavampire对Affirm的2670万条数据标价1.4万美元（或每百万条700美元）。

• 订阅制与服务化：Sorb等行为者拥有自己的Telegram频道，进行长期数据发布和客户维护。

• “担保交易”：许多帖子提供第三方担保（Escrow）服务，以建立“信任”，促进大额交易。

• 服务分化：既有专门售卖初始访问权限的（如miyako卖银行后台），也有专注数据转卖的掮客（如BottleHead、Sorb），还有提供伪造文件等“衍生服务”的（如kitcat）。

• 关联性分析：多个行为者（如jrintel、Sorb、KaruHunters）同时使用暗网论坛和Telegram进行交叉宣传和客户引流，形成了“论坛引流+即时通讯工具成交”的成熟链条。不同行为者发布的数据有时存在重叠（如多家售卖政府数据），暗示其可能共享数据来源或存在上下游分赃关系。

03 典型事件深度剖析

案例一：金融科技公司Affirm超2670万用户数据被售卖

• 时间：2026年01月24日
• 行为者：datavampire
• 分析：此次事件是典型的针对金融科技巨头的大规模数据窃取。窃取的数据包含用户全名、电话、地址等完整个人身份信息（PII）。威胁行为者采用“一口价”与“按量计价”结合的灵活定价策略，并强调“只卖一次”以提升数据稀缺性。这反映出黑产对高净值、高活跃度金融用户数据的精准估值和成熟变现模式。

案例二：哈佛大学超百万条记录泄露

• 时间：2026年02月04日
• 行为者：Grokly
• 分析：顶尖学府成为目标，泄露数据可能包含学生、教职员工及研究人员的敏感信息。教育机构存储着海量个人数据乃至前沿研究成果，但往往网络安全投入相对滞后。此类事件不仅侵犯隐私，更可能为针对性的网络钓鱼、身份诈骗乃至国家背景的学术间谍活动打开缺口。

案例三：国防承包商波音与雷神公司信息泄露

• 时间：2026年01月25日（两起独立事件）
• 行为者：jrintel
• 分析：威胁行为者jrintel连续发布波音防务部门新技术联系信息和雷神公司网络安全职位简介。这些信息看似非核心机密，但通过社会工程学分析，可用于构建针对国防工业基地（DIB）供应链的高级持续性威胁（APT）攻击。攻击者意图非常明确，直指美国国家安全核心领域。

04 完整事件时间线（2026年01月06日 – 02月05日）

| 序号 | 时间 | 摘要 | 威胁行为者 | 行为类型 | | — | — | — | — | — | | 1 | 2026-02-04 | 哈佛大学（Harvard University）——超过100万条记录 | Grokly | 数据泄露 | | 2 | 2026-02-04 | 美国驾照+保险文件 | Dumbledorre | 数据泄露 | | 3 | 2026-02-04 | 国家公共数据——27亿条美国居民记录 | BottleHead | 数据泄露 | | 4 | 2026-02-04 | 美国 – 从网站转储的2000份全新保险案例 | sexyskin | 数据泄露 | | 5 | 2026-02-04 | 国防部合同网络安全CMMC培训材料 | jrintel | 数据泄露 | | 6 | 2026-02-04 | getcardbase.com（[美国] 248000） | All3in | 数据泄露 | | 7 | 2026-02-03 | YUM品牌SQL注入（SQL injection）漏洞 | l33tfg | 数据库泄露 | | 8 | 2026-02-03 | Nemrt.com 警察 | Sythe | 数据库泄露 | | 9 | 2026-02-03 | National Money Mart公司数据库 | iloveya | 数据库泄露 | | 10 | 2026-02-03 | 美国银行防火墙（Firewall）与网络管理面板（Network Admin Panel） | miyako | 初始访问售卖 | | 11 | 2026-02-02 | instagram.com / 已抓取API（Scraped API） / 1700万 / 2026 | HarleyQuinn2905 | 数据泄露 | | 12 | 2026-02-02 | Substack 美国在线平台 | w1kkid | 数据泄露 | | 13 | 2026-02-01 | Woundtech 医疗护理——图示照片——医疗史，医生记录 | FulcrumSec | 数据泄露 | | 14 | 2026-02-01 | GPO.Gov 美国政府出版局 1500 Lines | Sythe | 数据泄露 | | 15 | 2026-02-01 | [PALANTIR] 网页邮箱链接 Microsoft 登录 | Spearr | 数据泄露 | | 16 | 2026-02-01 | 出售访问权限 \ Selling accesses | Big-Bro | 数据售卖 | | 17 | 2026-01-31 | 856,857条包含社会安全号码（SSN）和出生日期（DOB）的完整身份信息记录。 | BitIcon | 数据库泄露 | | 18 | 2026-01-31 | Robinhood SMTP数据库（DB）1200万行数据 | jrintel | 数据库泄露 | | 19 | 2026-01-31 | apus.edu – 数据泄露 | w1kkid | 数据泄露 | | 20 | 2026-01-30 | Crunchbase 公司 | Tanaka | 数据泄露 | | 21 | 2026-01-30 | RG ELECTRIC COMPANY INC – (500 GB) | Databroque | 数据泄露 | | 22 | 2026-01-30 | CreationStationFlowers.com 数据库 | 888 | 数据库泄露 | | 23 | 2026-01-29 | mypcp.us 数据 | INS | 数据库泄露 | | 24 | 2026-01-28 | Resist.Mobi I.C.E 抗议网站 | Sythe | 数据泄露 | | 25 | 2026-01-28 | First Editing.com | KaruHunters | 数据泄露 | | 26 | 2026-01-28 | RemoteCOM – | w1kkid | 数据泄露 | | 27 | 2026-01-28 | 美国 550 亿美元 | freezqq | 初始访问售卖 | | 28 | 2026-01-28 | Bumble Database | cysc | 数据库泄露 | | 29 | 2026-01-27 | Match Group 7.26 GB | cysc | 数据泄露 | | 30 | 2026-01-27 | Palantir 邮件抓取混合数据集 | Glowie | 数据泄露 | | 31 | 2026-01-26 | redtigersupport.org 2026 | AnonymeTorNet | 数据泄露 | | 32 | 2026-01-26 | Panera Bread +1400万 | Grokly | 数据泄露 | | 33 | 2026-01-26 | ICELIST – 1580名特工，337张照片 | cementine | 数据泄露 | | 34 | 2026-01-26 | 斑马技术公司源代码 | 888 | 数据泄露 | | 35 | 2026-01-26 | TruthFinder & InfoTracer API 封装器 | OpenBullet | 数据泄露 | | 36 | 2026-01-26 | zHealthEHR加州数据泄露事件——波及120万人 | kazu | 数据泄露 | | 37 | 2026-01-26 | Lena Health | FulcrumSec | 数据泄露 | | 38 | 2026-01-26 | 联邦调查局（FBI）部门 – fbijobs.gov | gotham321 | 数据泄露 | | 39 | 2026-01-25 | GetYourCarInsuredNow.online – 100万行数据 | ShenronDumps | 数据库泄露 | | 40 | 2026-01-25 | 波音防务新技术信息与联系方式 | jrintel | 数据泄露 | | 41 | 2026-01-25 | 新鲜45000+教育邮箱 | r3dpin | 数据售卖 | | 42 | 2026-01-25 | 雷神公司网络安全职位简介 | jrintel | 数据泄露 | | 43 | 2026-01-25 | 美国海军军用车辆数据库 | chrs1234 | 数据库泄露 | | 44 | 2026-01-25 | SoundCloud.com | 2025年 | 3000万 | Yi5qT54Ek | 数据泄露 | | 45 | 2026-01-24 | Axtria | 888 | 数据泄露 | | 46 | 2026-01-24 | affirm.com – 2670万 | datavampire | 数据售卖 | | 47 | 2026-01-24 | BBSRadio.com 数据库 | 888 | 数据库泄露 | | 48 | 2026-01-23 | CarMax.com | Wadjet | 数据库泄露 | | 49 | 2026-01-22 | CallOnDoc 110.00000000000001万 份患者档案 | iProfessor | 数据泄露 | | 50 | 2026-01-22 | qualityusedtransmissions.com | 7千人 | 0xy0um0m | 数据库泄露 | | 51 | 2026-01-21 | M-STAT 数据库转储 – SMS | yuri2000 | 数据库泄露 | | 52 | 2026-01-21 | Live Nation / TicketMaster 12亿用户信用卡及详细信息 2.6TB | shinymontanna | 数据泄露 | | 53 | 2026-01-21 | Rockbottom Rentals 数据泄露事件 | epic | 数据泄露 | | 54 | 2026-01-21 | 加州法院私人用户记录 | Sythe | 数据泄露 | | 55 | 2026-01-21 | Mini USA 数据 | 116 条记录 | shawnwallah | 数据库泄露 | | 56 | 2026-01-20 | 1.4 GB 加州海洋渔业合作组织数据 | AiriHoshino | 数据库泄露 | | 57 | 2026-01-20 | 180万份保险记录——全新文件 | iProfessor | 数据泄露 | | 58 | 2026-01-19 | 8500万份SSN详细信息 – 美国社会安全管理局 | hexvior | 数据库泄露 | | 59 | 2026-01-19 | 联邦调查局（FBI）数据库 | wayne bruce123 | 数据库泄露 | | 60 | 2026-01-15 | 美国贷款全套信息 – 1000万至2000万信用额度 | rockstar1 | 数据泄露 | | 61 | 2026-01-15 | Coinbase 1630万 | sheldon | 数据泄露 | | 62 | 2026-01-15 | 美国政府数据库 | HawkSec | 数据库泄露 | | 63 | 2026-01-15 | Habit Burger & Grill 官方网站 | aiyewumi | 数据泄露 | | 64 | 2026-01-15 | 阿马里洛学院潘汉德尔地区法 | zvezdanwastaken | 数据泄露 | | 65 | 2026-01-14 | Cordogan Clark数据库泄露事件 | AYYUBI | 数据库泄露 | | 66 | 2026-01-14 | issp.org 7 296 176 个人数据 英国 美国 澳大利亚 等 | Sorb | 数据泄露 | | 67 | 2026-01-14 | 美国思杰科技（Cetrix Technologies）3,989,000 | Sorb | 数据库泄露 | | 68 | 2026-01-12 | 新Trust Wallet助记词(10万) | Fox_con | 数据泄露 | | 69 | 2026-01-12 | 最新绝密美国政府和军事文件 出售 | jrintel | 数据泄露 | | 70 | 2026-01-12 | Palantir文件遭泄露 | Spearr | 数据泄露 | | 71 | 2026-01-12 | FBI数据库与波兰凭证 | Shark_vf | 数据库泄露 | | 72 | 2026-01-10 | fremontcountyelectionsco.gov | SR & DB 数据泄露 | skra1a | 数据泄露 | | 73 | 2026-01-08 | 美国喜剧工厂网站 – 信息泄露 | lulzintel | 数据库泄露 | | 74 | 2026-01-08 | 阿肯色州政府网站员工信息泄露 | Dacio | 数据泄露 | | 75 | 2026-01-07 | 美国政府和警察门户网站 | rockstar | 数据泄露 | | 76 | 2026-01-06 | 猎户座通信与公共关系 | itskilim | 勒索攻击 | | 77 | 2026-01-06 | 45000个教育邮箱 每个邮箱含1TB存储空间 | kitcat | 数据泄露 | | 78 | 2026-01-06 | 克莱斯勒官网1088 GB数据库 | ByShenron | 数据库泄露 | | 79 | 2026-01-06 | 伪造美国机密文件服务 | kitcat | 数据泄露 |

05 数据可信度与局限性说明

本报告基于对公开暗网及数据泄露论坛的监控信息整理而成，特此说明以下几点：

1. 数据来源局限：数据主要来源于breachforums.bf、darkforums.io等公开论坛，未覆盖私密交易渠道、即时通讯群组及深网其他区域，因此实际威胁事件数量可能远超本文统计。
2. 信息滞后与夸大：论坛发帖时间不等于实际攻击发生时间，存在滞后。部分威胁行为者为吸引关注或抬价，可能夸大泄露数据量（如“27亿条记录”），其真实性需进一步验证。
3. 归因不确定性：威胁行为者普遍使用匿名账号，且可能存在团伙共用马甲、买卖攻击成果的情况。本文中的归因基于发帖账号，不代表对其真实身份的最终判定。
4. 统计口径：事件统计以独立发帖为基准，同一攻击事件可能被不同行为者重复发布，已做去重处理，但仍可能存在关联。

结尾

过去一个月，美国网络空间呈现出一幅“全民数据裸奔”与“国家级靶标凸显”并存的严峻图景。79起事件、60个团伙、超270亿条数据，这三个数字勾勒出黑产的空前活跃与猖獗。攻击不再仅仅是窃取金钱，更是攫取权力、影响和战略优势。从国防机密到公民社保号，无一不处于风险之中。这警示我们，网络安全已渗透到国家安全的每一个毛细血管。持续监控暗网动态，深入理解威胁行为者的商业模式与技术演进，不再是可选项，而是政府、企业和个人在数字时代生存与发展的必修课。只有保持最高级别的警惕与投入，才能在这片看不见硝烟的战场上构筑起有效的防线。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱 匿名 匿名《美国网络地下经济揭秘：60个威胁组织活跃，超270亿条公民数据暗网“裸奔”》