文章总结： 美国BNPL巨头Affirm遭遇重大数据泄露，2670万用户信息被暗网用户以1.4万美元出售。泄露数据含姓名、地址及内部ID，极易引发精准诈骗与身份盗用。文章警示数据关联风险，建议用户提高警惕，行业需加固数据生命周期安全防线。 综合评分： 86 文章分类： 数据泄露,威胁情报,数据安全

美国领先的先买后付（BNPL）巨头 Affirm 2670万用户信息暗网“一口价”交易内幕

夯磅棱

2026年2月1日 09:33 北京

一个名为 “datavampire” 的用户在暗网论坛上发布了一条看似寻常的广告。

“出售 affirm.com 用户数据库（美国/加拿大先买后付服务）。”帖子的标题直接、冷酷。

接着，一串数字像拍卖行的清单被罗列出来：26,702,116 条记录，1.9GB 大小，14，000美元 一口价或每百万条 700美元。他甚至“贴心”地提供了数据样本链接，供潜在买家验货。

在样本中，一行行包含全名、电话、街道地址、城市、州、邮编的记录赤裸裸地排列着。攻击者不忘“备注”：一部分电话号码可能包含占位符，但这并不影响整批数据的致命价值。

帖子末尾，他用加粗的字体强调：“只卖一次！每次售出后，记录都会更新。” 这句话像一句黑暗市场的行规，既营造了数据稀缺的焦虑感，也暗示着这是一个动态、持续的数据源。

这一次，被摆上货架的，是美国领先的先买后付（BNPL）巨头 Affirm 的数千万用户。

01 事件概述：一场2670万量级的精准数据灾难

乍看之下，2670万条用户数据是一个抽象的数字。我们将其转化为更直观的概念：这大约相当于美国洛杉矶市的总人口，或者加拿大全国人口的70%。每一行数据背后，都是一个真实的人，以及一套完整的线下生活坐标。

根据原帖信息，此次泄露的数据格式为文本文件，总容量1.9GB。这意味着每条记录的平均大小非常精简，数据高度结构化，便于攻击者后续的批量处理和自动化利用。泄露日期明确标注为 2026年1月23日，这表明数据的新鲜度极高，很可能来自近期的数据库快照，其有效性和危害性远高于陈年旧数据。

一个值得警惕的细节是，攻击者 datavampire 强调“每次售出后记录都会更新”。这通常暗示了两种可能：要么攻击者已经掌握了持续访问数据库的权限，数据是“活”的；要么他手中握有更庞大的原始数据集，可以根据销售情况进行增量更新。

无论是哪种情况，都意味着 这并非一次简单的历史数据打包甩卖，而可能是一场持续威胁的开始。主流媒体在报道类似事件时，往往聚焦于数据规模和公司声明，而容易忽略这种“动态更新”所暗示的、更深层次的系统性安全问题。

02 泄露主体：被洞穿的金融科技“信任基石”

本次事件的焦点——Affirm，绝非无名小卒。作为美国乃至北美地区最知名的先买后付服务提供商之一，它与成千上万家在线及线下零售商合作，为数千万消费者提供分期付款服务。

其商业模式的核心在于：在消费者购物时提供短期小额信贷。这意味着，为了完成信用评估和风险控制，Affirm 必须收集和处理用户最核心的个人身份信息（PII）和部分金融行为数据。用户选择它，是基于一种默认的信任：这家金融科技公司有能力像传统银行一样，妥善守护自己的敏感信息。

然而，这起泄露事件无情地击碎了这种信任。泄露的数据字段（全名、电话、地址）正是金融身份验证中最基础的“知识问题”答案。更危险的是，数据中还包含了一个名为 “identifier” 的字段。

这个“标识符”的具体含义原帖并未说明，但它极有可能是Affirm系统内部的唯一用户ID、账户ID或某种关联码。这个字段的存在，就像一把钥匙，可能将暗网中这份基础个人信息文件，与Affirm系统内部更丰富的交易历史、信用额度、还款行为等深度金融数据关联起来。

尽管目前没有证据表明具体的交易数据泄露，但这次事件已经暴露出Affirm在保护用户基础PII层面存在严重漏洞。对于一个以“透明和信任”为口号的金融科技公司而言，这种规模的用户信息泄露，不仅是一次技术安全事故，更是一次对其品牌根基的动摇。

03 数据关联性

单看泄露的每一个字段，似乎都“平平无奇”：名字、电话、地址，这些信息在互联网时代仿佛已经半公开。然而，网络安全威胁的恐怖之处，从不在于单一数据的曝光，而在于 “关联”与“聚合” 所产生的化学反应。

让我们拆解这份数据样本的威力：

• 全名 + 完整地址（街道、城市、州、邮编）：这直接构成了物理世界的精准定位。结合公开的房产记录、选民登记信息，可以轻易核实用户身份，并为线下欺诈（如伪造文件、精准钓鱼邮件或包裹诈骗）提供完美剧本。
• 电话：即便部分含有占位符，大量有效的手机号码仍是短信钓鱼（Smishing）、语音钓鱼（Vishing）攻击的直通车。攻击者可以冒充Affirm、银行或执法机构，利用已掌握的个人信息获取极高信任度，套取更敏感的验证码或账户密码。
• 神秘的“identifier”：这是最大的不确定风险点。如果它是用户在Affirm平台内的唯一标识，那么地下黑客完全可以利用它，尝试与其他来源泄露的数据库（例如从其他网站泄露的邮箱-密码组合）进行碰撞攻击，或者发起针对Affirm API或客户端的精准撞库攻击。

真正的灾难性场景在于数据聚合。 暗网数据市场早已形成产业链。专门从事数据清洗、关联、整合的团伙，会将这份Affirm数据与其他渠道获取的社交资料、邮箱密码、消费记录甚至社保号碎片进行拼接。最终，一个几乎透明的“数字分身”将被构建出来，用于：

1. 超高仿真的身份盗用，申请贷款、信用卡。
2. 针对亲友的“紧急求助”式诈骗，成功率陡增。
3. 针对特定高净值人群或企业的商业间谍活动。

风险等级分析表：

| 数据字段 | 独立风险 | 关联后风险 | 潜在攻击场景 | | — | — | — | — | | 全名 | 低 | 极高 | 身份核实、个性化诈骗开场 | | 电话 | 中 | 极高 | 直接通讯攻击、二次信息套取 | | 地址 | 中 | 极高 | 物理安全威胁、伪造文件、评估经济状况 | | Identifier | 未知（可能极高） | 未知（可能极高） | 关联内部金融数据、撞库攻击、账户接管 |

回顾历史，从征信机构Equifax到社交媒体巨头Facebook，大规模数据泄露的教训一再重演，但悲剧仍在发生。对于Affirm的用户而言，当前最紧迫的是提高警惕，防范可能接踵而来的精准诈骗。对于行业而言，这必须成为一次全面审视数据生命周期安全、加固信任基石的契机。

14,000美元，这是暗网为2670万人隐私标出的总价。 但在这场交易中，真实付出的代价远非金钱可以衡量——那是数千万人被迫交出的安全感，和一个行业必须重新修补的信任裂缝。

当“先买后付”成为一种生活方式，我们是否想过，被分期付款的不仅仅是商品，还可能包括我们精心维护的数字身份与安全？数据泄露没有“后悔药”，安全防线上的任何一道“分期付款”，最终都可能迎来一次无法承受的“到期偿付”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱 《美国领先的先买后付（BNPL）巨头 Affirm 2670万用户信息暗网“一口价”交易内幕》