文章总结： 金融科技公司Figure因遭受社会工程学攻击导致近100万个账户数据泄露。攻击组织ShinyHunters通过语音钓鱼诱骗员工提供凭据与MFA代码入侵SSO账户。泄露数据包括姓名、地址及电话号码等并被发布至暗网。该事件凸显了针对身份验证绕过攻击的防御紧迫性，建议企业加强员工安全意识培训并完善SSO访问控制策略。 综合评分： 72 文章分类： 数据泄露,安全大事件,社会工程学,威胁情报

金融科技公司Figure发生数据泄露，近100万个账户受到影响

Rhinoer Rhinoer

犀牛安全

2026年3月12日 00:20 北京

黑客入侵了 Figure Technology Solutions 的系统，该公司自称是一家区块链原生金融科技公司，窃取了近 100 万个账户的个人和联系信息。

Figure 成立于 2018 年，利用 Provenance 区块链进行借贷和证券交易，已与包括银行、信用社、金融科技公司和家装公司在内的 250 多家合作伙伴一起释放了超过 220 亿美元的房屋净值。

虽然这家区块链贷款机构没有公开披露这起事件，但 Figure 的一位发言人周五告诉 TechCrunch，攻击者通过社交工程攻击窃取了“数量有限的文件”。

BleepingComputer 也已联系 Figure 询问有关此次数据泄露的更多问题，但尚未收到回复。

尽管该公司尚未透露有多少人受到数据泄露的影响，但通知服务 Have I Been Pwned现已披露了事件的严重程度，报道称此次攻击导致 967,200 个帐户的数据被盗。

“2026 年 2 月，从金融科技借贷平台 Figure 获取的数据被公开发布到网上，”Have I Been Pwned 网站周三表示。

泄露的数据最早可追溯至2026年1月，包含超过90万个唯一的电子邮件地址，以及姓名、电话号码、实际地址和出生日期。Figure公司证实了这起事件，并将其归咎于一起社会工程攻击，一名员工被诱骗提供了访问权限。

ShinyHunters 勒索组织声称对此次数据泄露事件负责，并将该公司添加到其暗网泄露网站，泄露了据称从数千名贷款申请人处窃取的 2.5GB 数据。

最近几周，ShinyHunters 声称Canada Goose、Panera Bread、Betterment、SoundCloud和 PornHub也遭遇了类似的安全漏洞。

虽然并非所有受害者都属于同一攻击活动，但其中一些受害者在针对Okta、微软和谷歌等100 多个知名组织的单点登录 (SSO) 帐户的语音网络钓鱼 (vishing) 活动中遭到入侵。

攻击者冒充 IT 支持人员，打电话给目标员工，诱骗他们在模仿公司登录门户的钓鱼网站上输入凭据和多因素身份验证 (MFA) 代码。

一旦入侵成功，他们就能访问受害者的 SSO 帐户，从而访问其他连接的企业应用程序和服务，包括 Salesforce、Microsoft 365、Google Workspace、SAP、Slack、Zendesk、Dropbox、Adobe、Atlassian 等。

作为此次行动的一部分，ShinyHunters 还入侵了在线约会巨头 Match Group，该公司拥有多家热门约会服务，包括 Tinder、Hinge、Meetic、Match.com 和 OkCupid。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《金融科技公司Figure发生数据泄露，近100万个账户受到影响》