文章总结： 巴西陆军数据库遭黑客入侵，5000万公民敏感信息泄露并被低价出售。数据包含CPF、住址及生物信息等，涉及军人及大量平民，具备极高关联危害性，可致金融欺诈与情报泄露。文章指出攻击者手法专业，且质疑军方为何存储海量平民隐私，警示数据汇聚风险，呼吁关注数据采集边界与安全防护。 综合评分： 82 文章分类： 数据泄露,安全大事件,威胁情报,数据安全

巴西陆军数据库遭血洗：5000万份档案曝光，1/4国民的“生命密码”仅售200美元

原创

匿名 匿名

夯磅棱

2026年2月17日 09:29 北京

暗网论坛的私信提示音不断响起，一个ID名为“Elmarub”的用户刚刚上传了一个30GB的JSONL文件链接。这里面不仅藏着军人的血型、军衔，还记录了5000万巴西公民家门口的街道名、母亲的名字，以及那串通往银行金库的钥匙——CPF号码。

01 数据拆弹：30GB不只是一堆JSON，而是5000万本“人生日记”

攻击者Elmarub声称，此次泄露的数据为单一30GB的JSONL文件。在数据安全领域，单一结构化文件的危害性远高于散乱的图片或PDF扫描件——这意味着这些信息已经被清洗、索引，可以直接导入任何数据库进行自动化利用。

5000万，这是泄露文件声称覆盖的公民数量。根据2026年的最新人口预估，巴西总人口约2.16亿。这意味着，每4个巴西人中，就有1人的完整隐私档案在此次事件中失窃。

更令人警惕的是，泄露数据并非陈旧的历史备份。根据数据库转储日期显示，这是2025年10月的快照。换句话说，这些是“实时级”的个人档案。

我们来看一组样本中的字段，这已不是简单的姓名+密码泄露，而是构建了一本完整的 “人生日记”：

• 生物识别级信息：血型、全名、父母姓名。
• 官方身份锚点：CPF（税务号）、RG（通用登记号）。
• 动态行为数据：邮箱、手机号、精确到门牌号的住址。
• 社会阶层画像：教育背景、婚姻状况、职业、居住区域（城市/农村）。

值得注意的是，尽管攻击者声称是“巴西陆军政府数据库”，但从样本的职业字段来看，目标远不仅限于现役军人。样本中既有“PROGRAMADOR（程序员）”，也有“SERRALHEIRO（锁匠）”，甚至还包括“ESTUDANTE（学生）”。这表明，该数据库极有可能是巴西陆军在管理征兵、后备役或与地方行政系统联动时产生的“全民人口镜像库”。

02 谁是Elmarub？藏在屏幕后的“南美猎手”

此次事件的核心威胁行为者——Elmarub，并非偶然闯入的独行侠。

从攻击者的论坛注册时间和发帖节奏来看，此人至少从2025年8月便开始针对性布局，并于2026年2月完成收网。其目标具有极其明确的国家指向性，专攻巴西。

被攻破的主体是谁？不是银行，不是电商，而是巴西陆军。

这不仅是数据安全漏洞，更是国家防御体系的一次内部塌方。陆军数据库理论上应是该国物理隔离等级最高的内网系统。Elmarub能够获取包含“军衔（Army Rank）”字段的完整转储文件，暗示其极有可能已攻破了该网络的边界防火墙，甚至可能植入了长期的后门。

虽然我们无法仅凭样本推测具体的攻击手法（可能是钓鱼、0day漏洞利用或供应链攻击），但攻击者输出格式规范的JSONL数据这一行为，排除了“粗鲁的复制粘贴”可能性。这是一次专业级的数据导出操作。

在绝大多数媒体报道中，此类事件常被冠以“军方信息泄露”的标签。然而，我们必须指出一个被忽略的重要细节：该数据库不仅包含军事人员，更包含了大量从事非军事职业的普通平民。 这意味着，巴西陆军或许在未经充分告知的情况下，成为了该国庞大平民隐私数据的“实际托管方”。数据存储在一个极度敏感的目标单位内，其安保等级虽然很高，但一旦失守，其汇聚效应带来的灾难性是普通政务系统的数倍。

03 关联键效应：当“税务号”遇上“经纬度”

要评估本次泄露的真正危害，不能只看单一字段，而要看字段与字段之间的化学反应。

我们提取样本数据中的关键风险字段，制作如下风险等级分析表：

| 关键字段 | 风险等级 | 成为“关联键”后的攻击场景 | | — | — | — | | CPF | 🔥极高 | 巴西数字社会的“根密钥”。可绑定银行账户、税务申报、信用记录。 | | 全名+父母姓名 | 🔥极高 | 绕过银行的“KYC（ Know Your Customer）”核身机制；重置高权限账户。 | | 出生日期+邮编 | 🔥高 | 精准营销诈骗；社保/医保身份冒用。 | | 电话+邮箱 | ⚠️中高 | 鱼叉式钓鱼攻击；SIM卡换卡攻击。 | | 血型+军衔 | ⚠️特定人群 | 针对军属的胁迫情报；特定健康状况的社会歧视。 |

【深层危害推演】 这已不是简单的“身份被盗”，而是进入了 “身份预设立” 的危险阶段。

攻击场景A：金融欺诈的“预筛选” 攻击者将CPF与完整住址、职业关联。例如，样本中“职业：MÉDICO GENERALISTA（全科医生）”的公民，其社会信用等级和资产水平通常较高。诈骗团伙可优先针对此类人群实施精准的“法院传票”或“税务欠款”类电信诈骗，成功率将直线上升。

攻击场景B：情报测绘的“拼图板” 对于巴西这样地域广阔的国家，居民跨州流动是常态。数据中的“出生地”与“现居地”字段组合，构成了绝佳的人口迁徙情报。通过分析“出生在贫困州、现居发达城市”的人口结构，攻击者甚至能逆向推演出巴西的经济政策失衡点，这已超出了普通网络犯罪范畴，进入了国家级情报搜集的领域。

04 行业警示：数据不再是“石油”，而是“铀矿”

对比近年来的历史事件，我们看到了惊人的相似轨迹。从邻国阿根廷的社保数据库泄露，到此次巴西陆军数据库被兜售，南美地区的关键基础设施正在经历一场大规模、系统性的数据渗透。

与以往黑客单纯为了勒索赎金不同，Elmarub的行为模式呈现出一种 “低定价、高伤害” 的新特征。

• 售价200美元：远低于数据的实际黑市价值。
• 首次购买者600美元：设置了门槛，意在寻找长期稳定的大客户。

这种定价策略暗示，攻击者的目的可能并非散货牟利，而是通过公开样本、低价甩卖的方式，最大化数据的传播广度，从而对巴西政府施加政治压力。

【结尾】

当我们在技术层面拆解JSON结构、分析CPF校验位时，往往容易忽略一个最根本的问题：

为什么一个国家的陆军，需要存储5000万平民的婚姻状况、血型和详细住址？

今天的买家以200美元买走了5000万巴西人的CPF，明天，是否有人能以更低的价格买走你我刚刚在政务APP里授权的面部数据？

数据安全的本质，从来不是保护比特位，而是保护比特位背后那一张张真实、脆弱、不可复制的人生。 当四分之一个国家的国民隐私被压缩进一个30GB的文件里公开叫卖时，我们该质问的不只是“谁黑了服务器”，更应该是“谁给了他们采集这一切的权利”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱 匿名 匿名《巴西陆军数据库遭血洗：5000万份档案曝光，1/4国民的“生命密码”仅售200美元》