2026-03-03 09:10:39 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文报道了巴西圣保罗州PRODESP系统发生的严重数据泄露事件，黑客在暗网出售200万公民的CPF税号及Base64编码面部图像。由于生物特征不可更改，该事件可能导致大规模身份冒用与金融欺诈。文章分析了政府机构安全设计的严重缺陷，探讨了生物识别技术的安全悖论，警示了数据聚合攻击的风险，呼吁重视生物数据保护。 综合评分： 82 文章分类： 数据泄露,安全大事件,数据安全,威胁情报

cover_image

200万巴西公民面部数据泄露：是谁把圣保罗的“脸”打包卖到了暗网？

原创

匿名匿名

夯磅棱

2026年2月15日 09:38 北京

2026年2月11日凌晨，一个ID为 0x0dayToDay 的用户在数据黑市 BreachForums 上敲下了一行简短的标题：“FACIAL PICTURES FROM SAO PAULO”。附件是一条长达200GB的下载链接，内含200万条巴西圣保罗州居民的 CPF税号 与 Base64编码的面部图像。

“感谢阅读，请享用。”——这句写在帖子开头的客套话，像极了一场数字时代的饕餮盛宴的邀请函。只不过，端上餐桌的，是200万张真实存在的脸。

当我们的生物特征被压缩成字符串、装进CSV文件，在暗网节点间以每秒数十兆的速度流转时，一个问题开始变得无比尖锐：当政府连我们的“脸”都守不住，还有什么安全可言？

01 事件概述｜200GB，不只是200万张照片

根据泄露者披露的信息，此次外泄的数据包名为 SAOPAULO_2M_DUMP.csv，总容量 200GB，分为10个压缩分卷，每卷20~21GB。文件中包含约 200万 名圣保罗州居民的 CPF号码 及对应的 Base64编码面部照片。

🔍 数据量级的真实含义 圣保罗州是巴西人口最多的州，超过4600万人。200万条记录虽然仅占全州人口的4.3%，但问题的核心并非数量，而是数据类型。CPF是巴西公民在税务、银行、社保、医疗等所有公共服务中的唯一身份标识，相当于“巴西版身份证号”。而面部图像，则是不可更改的生物特征密钥。

更值得警惕的是，泄露者明确表示数据来自 PRODESP 的内部应用程序——这是一个直接服务于圣保罗州政府的官方数据处理机构。这意味着，外泄的并不是某个商业APP的注册信息，而是政府认证、实时可用的官方身份凭证。

02 泄露主体｜PRODESP：政府IT“守门人”为何失守？

PRODESP（圣保罗州数据处理公司）成立于1969年，是拉美最大的州级公共IT服务企业。它负责运营圣保罗州的电子政务平台、人口信息系统、数字身份发放等核心基础设施。简单说，它保管着圣保罗州4600万居民的电子钥匙。

然而，这把钥匙被复制了。

据0x0dayToDay自述，他攻破了PRODESP的一台 “内部应用程序”，该应用专门用于存储公民个人信息与面部照片。帖子中没有透露具体的攻击手法——是利用了未修复的Web漏洞、窃取了高权限凭证，还是内部人员配合？目前尚无定论。但可以肯定的是，存储着生物识别数据的系统居然可以直接从互联网访问，这本身就是安全设计的严重缺陷。

这不是0x0dayToDay第一次将矛头指向巴西政府。根据社区追溯，该行为者在2025年末至2026年初异常活跃，先后泄露过伯南布哥州政府人口数据库、俄罗斯Telegram用户信息等。其发帖风格极为专业：清晰的数据描述、精确的文件大小、结构化的分卷压缩——这更像是一支有组织的数据勒索团伙，而非独行黑客。

03 数据关联性｜当CPF遇上Base64：一张完整的“数字你”

如果仅仅泄露CPF，这只是一起常规的公民信息泄露；如果仅仅泄露面部照片，这也只是一起隐私侵权事件。但当 CPF + Base64面部图像 成对出现时，化学效应发生了。

🔑 CPF：巴西社会的“万能钥匙”

CPF由11位数字组成，是巴西公民在银行开户、签订合同、纳税、注册手机卡、乘坐国内航班等几乎所有场景下的必填字段。泄露的200万组CPF可直接用于：

冒名申请信用卡、贷款
注册空壳公司进行税务欺诈
盗刷医保福利
伪造数字签名

🖼️ Base64面部图像：永不失效的生物密码

文件中的面部照片并非二进制图片文件，而是经过 Base64编码 的纯文本字符串。任何人在获取该字符串后，只需一行解码命令即可还原出清晰的人脸照片。

生物特征与数字身份的结合，是数据黑产最致命的组合。有了CPF + 面部照片，攻击者足以通过绝大多数巴西金融机构的远程身份核验（KYC）。近年来，巴西广泛推行线上开户、面部识别支付，这套数据组合在黑市上的价值远高于单纯的身份证号泄露。

📊 字段风险等级分析

🔗 数据聚合攻击链预测

这200万条数据不会孤立存在。攻击者可以：

将CPF与以往泄露的巴西公民数据库交叉比对，补全姓名、地址、电话号码、家庭成员；
利用面部照片生成动态人脸视频或3D面具，通过部分APP的活体检测；
将合成身份用于洗钱、非法移民、逃避司法追捕。

这不是科幻电影。2024年，已有安全团队证明，利用公开的人脸照片配合AI换脸技术，可成功骗过多家银行的声纹+人脸双重认证。

04 行业影响｜生物识别：巴西的“透明公民”困境

巴西是全球最早大规模推行面部识别公共监控的国家之一。从圣保罗地铁闸机到里约热内卢狂欢节安检，从统一社保卡到电子投票系统，“刷脸”已成为巴西人日常生活的一部分。

但技术的狂奔往往掩盖了安全的短板。

2021年：巴西联邦警察使用的面部识别系统遭入侵，数百名司法人员的照片外流；
2023年：某州教育平台泄露超过100万名学生面部数据；
2026年2月：PRODESP 200万份面部+CPF数据公开出售。

每一次泄露，都在为黑产提供“训练样本”。当足够多的真实人脸与身份标识被关联，攻击者完全可以训练出绕过通用人脸识别算法的生成模型。届时，每一次刷脸都将变成对数据库的拷问：屏幕对面，是人还是AI？

结尾｜我们的脸，不再属于我们

在0x0dayToDay的帖子底部，隐藏着一行只有巴西情报局（ABIN）人员才能看到的留言。我们无从得知其内容——可能是勒索信，可能是技术细节嘲讽，也可能只是又一个炫耀者的签名档。但这条针对情报机构的“特意提及”，透露了一个危险的信号：攻击者已经不满足于盗窃数据，而是直接向国家权力机关“喊话”。

CPF丢了可以挂失，信用卡被盗可以冻结。但脸丢了，我们还能换一张吗？

当200万张圣保罗居民的脸在暗网服务器上静静等待下载，当Base64字符串被逐行还原成清晰的瞳孔与轮廓，一个属于生物识别时代的终极悖论已经摆在所有人面前：我们以为最安全的“本人到场”，恰恰成了最后一道、也是最脆弱的防线。

数据安全从来不是技术题，而是选择题——你愿为守护公民的“脸”付出多大代价？

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱匿名匿名《200万巴西公民面部数据泄露：是谁把圣保罗的“脸”打包卖到了暗网？》