文章总结： 某安全应急响应中心群发邮件时因未使用密送功能导致493个邮箱地址泄露，暴露的收件人列表包含大量手机号关联邮箱，易被用于鱼叉式钓鱼或社交工程攻击。建议厂商在业务底层强制禁用明文抄送，采用具备变量隔离的自动化投递系统保障用户隐私。 综合评分： 85 文章分类： 数据泄露,应急响应,社会工程学,安全意识,安全建设

某安全应急响应中心群发导致493个邮箱地址泄露

原创

面包狗 面包狗

小屁孩安全

2026年3月18日 18:18 湖南

在研究一些概念的时候突然手机发来一条信息：

习惯性地点进去，发现收件人挺多的，点开一看：

好家伙！这样发邮件正常吗，于是我找一下其他的安全应急响应中心：

这种是通过Bcc发送，也就是俗称的密送，似乎通常在诈骗邮件中才会使用群发，或者在公司内部

我把收件人的地址抓取下来进行分析：

多数的qq邮箱，以及多数的163邮箱直接采用了用户手机号作为 ID

直接微信搜索：

因此可以构建多种社工钓鱼的场景，在此不做技术分析

在实战视角下，暴露的收件人列表无异于一份经过初筛的高价值攻击图谱，极易被恶意主体利用于精准的鱼叉式钓鱼或跨平台的社交工程画像映射，从而将用户置于不可控的安全威胁之中。厂商应严格履行数据保护义务，从业务底层强制下线任何形式的批量明文抄送，转而采用具备变量隔离能力的自动化投递系统，确保每一条下行信息都处于隐私孤岛状态，因为安全的底线绝不应在最基础的业务通知链条上失守。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小屁孩安全 面包狗 面包狗《某安全应急响应中心群发导致493个邮箱地址泄露》