2026-03-18 00:43:41 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文档监测2026年初全球重大数据泄露事件，涵盖执法机构、军事国防与政府数据库等高价值目标。内容分析暗网论坛生态变化，如RAMP覆灭与新兴平台崛起，并揭示虚假信息识别要点。报告结合已验证与待验证情报，为政府及企业提供强化认证、供应链审查等防御建议，具有较高威胁情报参考价值。 综合评分： 88 文章分类： 威胁情报,数据泄露,安全大事件,安全运营,网络安全

cover_image

2026年2-3月全球重大数据泄露事件深度监测报告

原创

ZM ZM

暗镜

2026年3月3日 07:12 北京

导语： 当执法机构的邮箱被公开叫卖，当国防承包商的数据流入暗网，当多国政府数据库成为黑客的”摇钱树”——2026年开年的暗网论坛正经历着一场前所未有的”数据狂欢”。本文基于对BreachForums、DARKFORUMS、RAMP、XSS等主流暗网平台的持续监测，为您揭开这场跨国网络危机的冰山一角。注：部分事件来源于暗网论坛帖子声称，尚未经独立第三方验证，仅供威胁情报参考。

一、执法机构成”猎物”：警察系统遭针对性打击

【监测情报】美国警察部门邮箱权限被挂牌出售

泄露时间： 2026年2月23日 发布平台： BreachForums 发布者： lucy 验证状态： ⚠️ 尚未经独立验证

据暗网监测，用户”lucy”在BreachForums上声称出售美国警察部门的电子邮件账户访问权限，每个账户标价1000美元，且态度强硬——预付制、不议价。帖子称这些账户可用于伪造官方通信、向在线平台提交正式请求、实施社会工程学攻击，且”未被标记或封锁”。

交易特征分析：

增值服务： 额外支付500美元可获得配套伪造身份证明（Forged ID），形成”身份欺诈套装”
准入门槛： 要求买家提供资金证明（POF）后方可查看样本，筛选”真实买家”
支付方式： 接受BTC、LTC、ETH、SOL、USDT及门罗币（XMR），XMR因匿名性成为首选

威胁评估： 若属实，警察邮箱泄露不仅威胁执法人员个人安全，更可能被用于冒充执法机构实施精准诈骗、干扰司法程序，甚至威胁证人保护计划。此类声称在暗网中常见，但需警惕其被用于诈骗买家（”骗子骗骗子”模式）。

【监测情报】西班牙国家警察与国民警卫队凭证大规模泄露

泄露时间： 2026年2月28日 发布平台： BreachForums 发布者： PoliceEspDoxedBF 验证状态： ⚠️ 尚未经独立验证

几乎在同一时间，监测到发布者声称泄露西班牙国家警察（CNP）和国民警卫队（Guardia Civil）成员的内部系统登录凭证，涉及”policia.es”和”guardiacivil.es”网络的多个管理面板。发布者提供了两个直接下载链接，这种”开放式”泄露方式若属实，表明攻击者已完全掌控数据。

背景关联： 2025年曾有类似针对西班牙执法机构的声称，后被部分证实。此类事件在暗网中周期性出现，需结合西班牙官方通报判断真实性。

【监测情报】阿联酋3万名警察人员信息遭泄露

泄露时间： 2026年2月24日 发布平台： BreachForums 发布者： TheAshborn 验证状态： ⚠️ 尚未经独立验证

同一发布者”TheAshborn”声称拥有阿联酋3万名警察人员的完整个人信息（PII），并提供了据称为证明截图的文件链接。发布者强调仅通过Session应用联系，显示出专业且谨慎的交易模式。

趋势分析： 短短一周内，监测到美、西、阿三国警察系统相关声称，这反映出黑客组织正将执法机构作为高价值目标——利用其数据的高敏感性和高杠杆效应进行勒索或出售。此类声称的集中出现，也可能与特定黑客组织的”营销周期”相关。

二、军事国防领域遭渗透：从北约到国防承包商

【监测情报】美国国防物流公司Daricon遭勒索攻击

泄露时间： 2026年2月27日 发布平台： INC Ransom暗网泄露站点 发布者： INC Ransom 验证状态： ⚠️ 尚未经独立验证

勒索软件组织INC Ransom在其暗网泄露站点声称成功攻击美国国防物流公司Daricon，窃取总计400GB的敏感数据。声称的泄露内容包括：

与北约及美国陆军人员的通信往来
机密文件及北约将领签名
护照及地址信息
多国军售合同
技术图纸
员工个人数据（电子邮件、电话号码）
在伊拉克、乌干达等地的涉石油业务相关公司文档

INC Ransom组织背景： 该组织活跃于2023-2024年，曾攻击多家医疗机构和制造业公司，2025年后一度沉寂。此次声称若属实，标志着其重返舞台并升级目标至国防供应链。

战略影响评估： 军售合同和技术图纸的泄露可能威胁美国与盟友的军事合作。然而，涉及”伊拉克、乌干达石油业务”的细节与典型国防物流商业务存在偏差，需警惕信息夸大或虚构。

【监测情报】巴勒斯坦权力机构及以、英情报系统遭攻陷

泄露时间： 2026年2月27日 发布平台： BreachForums 发布者： CVDEAD 验证状态： ⚠️ 尚未经独立验证

地缘政治的复杂性在暗网中体现得淋漓尽致。发布者”CVDEAD”声称已成功渗透巴勒斯坦权力机构（Palestinian Authority）的服务器及指挥控制系统（C2）的完全管理权限。

声称内容：

基于ArcGIS平台的约200个应用
24/7事件监控系统及相关文件
用户、事件、操作命令、坐标交易等敏感信息
特别声称： 包含以色列辛贝特（Shin Bet）联络人及英国军情六处（MI6）训练人员信息

情报价值与疑点： 此类数据对地缘政治对手具有极高价值，但”CVDEAD”为新兴ID，历史信誉未知。涉及MI6的信息若属实，将构成重大外交事件，但目前尚无官方回应。

三、政府数据库成”摇钱树”：跨国批量售卖

【监测情报】巴林国家安全局邮件服务器200GB数据泄露

泄露时间： 2026年2月24日 发布平台： BreachForums 发布者： TheAshborn 验证状态： ⚠️ 尚未经独立验证

“TheAshborn”在本月表现”活跃”，声称拥有巴林国家安全局（NSA.gov.bh）邮件服务器的200GB数据，涉及50个用户邮箱及往来信件。发布者提供了5张据称为数据样本的截图，标价2500美元等值加密货币出售，并强调仅通过Session应用联系。

定价策略分析： 2500美元的定价显著高于普通数据库（通常100-500美元），反映出攻击者对”国家安全局”标签的溢价预期。此类高定价也可能是筛选”有实力的国家背景买家”或诈骗分子的手段。

【监测情报】马来西亚多个政府数据库遭窃取并挂牌出售

泄露时间： 2026年2月24日 发布平台： BreachForums 发布者： TheAshborn 验证状态： ⚠️ 尚未经独立验证

同日，同一发布者声称拥有马来西亚多个政府机构的数据库待售：

交易模式： 仅向”准备付款的客户”提供证据，显示出”一手交钱、一手交货”的专业交易模式。此类批量售卖政府数据库的声称在暗网中屡见不鲜，但真实性参差不齐。

【监测情报】印度尼西亚8000万条公民数据泄露

泄露时间： 2026年2月28日 发布平台： BreachForums 发布者： Kim200p 验证状态： ⚠️ 尚未经独立验证

发布者”Kim200p”声称出售据称为从未公开过的印尼某政府部门数据，总量达8000万条记录，标价1000美元。泄露字段极为详尽：

出生地、出生日期
身份证类型与号码、发证地
宗教信仰、婚姻状况、国籍
手机号、全名及电子邮箱

历史参照： 印尼政府数据库泄露事件频发，2022年曾发生类似规模泄露。若此次声称属实，将表明印尼政府数据保护机制仍存在系统性漏洞。

四、DARKFORUMS与俄语论坛生态：暗网经济的另一极

【已验证】DARKFORUMS：Max Messenger大规模数据泄露

泄露时间： 2026年1月中旬（持续影响至2月） 发布平台： DARKFORUMS 发布者： CamelliaBtw 验证状态： ✅ 部分验证（俄罗斯官方否认，但技术细节可信）

黑客”CamelliaBtw”在DARKFORUMS上声称对俄罗斯主流通讯平台Max Messenger实施大规模数据泄露，窃取142GB压缩数据，涉及1540万用户记录。

泄露内容：

用户全名、用户名、电话号码
活跃身份验证令牌
bcrypt哈希密码
通信元数据（自平台上线以来）
内部基础设施资产（SSH密钥、API文档）
未加密媒体文件及后端源代码

攻击手法： 声称通过媒体处理引擎的远程代码执行漏洞（RCE）实施攻击，该漏洞自2025年初存在且未修补。

后续发展： 攻击者威胁若24小时内未达成财务和解将公开全部数据，但后续未见大规模公开泄露。俄罗斯官方否认数据泄露，称仅为”旧数据”炒作。

地缘政治敏感性： Max Messenger是俄罗斯政府推广的”国产替代”通讯工具，与政府数字基础设施深度集成。此次事件凸显”主权互联网”平台的安全挑战。

【已验证】DARKFORUMS：西班牙能源巨头Endesa数据泄露

泄露时间： 2026年1月初（持续交易至2月） 发布平台： DARKFORUMS / BreachForums 发布者： “spain”（原昵称”glock”） 验证状态： ✅ 已验证（Endesa确认安全事件）

威胁行为者”spain”（DARKFORUMS注册于2025年9月17日）声称出售西班牙最大电力公司之一Endesa的客户数据库。

泄露数据特征：

客户全名、电子邮件地址、电话号码
物理地址、账单信息、服务详情
供应点识别码（CUPS）、能耗数据
身份识别文件（DNI/NIE/CIF）
银行账户信息（IBAN）

攻击手法： 利用Endesa在线发票系统的逻辑漏洞，通过伪造请求绕过身份验证，访问客户发票PDF文件。

跨平台运营： 该行为者在DARKFORUMS和BreachForums同步发布信息，并通过Telegram频道@spainhacked2026进行推广，要求通过Session应用联系，显示出专业化运营特征。

五、RAMP论坛覆灭与暗网生态重构

【已验证】RAMP论坛遭FBI查封

查封时间： 2026年1月28日 影响持续： 2月生态重构 验证状态： ✅ 已验证（FBI官方确认）

2026年2月，暗网犯罪社区最震撼的消息莫过于RAMP（Russian-speaking Anonymity Marketplace）论坛的覆灭。这个自2021年活跃、专注于勒索软件运营和初始访问经纪（IAB）的俄语论坛，在1月28日被FBI正式查封。

查封细节：

域名被重定向至FBI扣押服务器
DNS名称服务器被修改为FBI控制的基础设施
管理员”Stallman”在XSS和Exploit论坛确认查封，宣布不再重建

后续震荡： 查封后不久，Telegram频道开始流传据称从RAMP泄露的数据库截图。虽然”Stallman”否认数据泄露，但前RAMP成员承认部分数据看起来真实，引发对”内鬼”或”蜜罐”的猜测。

【已验证】新兴论坛崛起：T1erOne与Rehub

RAMP的覆灭迅速催生了替代平台：

T1erOne（封闭型）

成立时间： 2026年2月初
准入机制： 需证明在其他论坛的活跃度，或支付450美元入会费
特点： 高度封闭，旨在降低渗透风险，吸引高价值攻击者
入驻团伙： Qilin、Cry0等勒索软件组织

Rehub（开放型）

成立时间： 2025年8月
入驻团伙： LockBit、Gentlemen（2025年9月起），DragonForce（RAMP离线当日加入）

生态趋势： 暗网论坛正从大型集中式平台向”小而美”的封闭社区转型，通过提高准入门槛（付费、邀请制、信誉证明）来重建信任，减少执法渗透风险。

六、XSS与Exploit论坛：俄语黑客的”避风港”

【已验证】XSS论坛：RAMP难民的争议性接纳

RAMP查封后，大量勒索软件运营者涌入XSS论坛寻求新据点，引发激烈争论：

难民请求： 部分用户呼吁XSS放宽对勒索软件相关活动的禁令
管理层立场： XSS管理员重申，禁止勒索软件附属机构招募的政策不变，以避免吸引执法审查

这一立场引发社区对XSS长期定位的质疑：是坚持”纯粹”的技术黑客论坛，还是适应市场需求填补RAMP留下的真空？

【已验证】Exploit论坛：观望与策略调整

作为另一大俄语网络犯罪论坛，Exploit在RAMP覆灭后保持相对低调，但观察人士注意到：

对RAMP事件的高度关注，用户广泛讨论查封影响
加强了对新注册用户的审查，防止执法渗透
部分RAMP高级成员被观察到在Exploit重新建立身份

战略意义： XSS和Exploit作为俄语暗网的”老牌劲旅”，其政策选择将深刻影响勒索软件生态的地理分布。若两者均拒绝接纳勒索软件团伙，可能迫使攻击者转向更隐蔽的私人渠道，增加监测难度。

七、民生领域无幸免：从城市重建到社区应用

【监测情报】美国Building Detroit组织18.5万用户数据泄露

泄露时间： 2026年2月27日 发布平台： BreachForums 发布者： nest0r 验证状态： ⚠️ 尚未经独立验证

在民生领域，监测到美国底特律地区组织Building Detroit相关声称。用户”nest0r”声称泄露该组织用户数据库，涉及18.5万条记录，包含电子邮件、创建时间、出生日期、姓名、性别、密码哈希值及用户名等个人身份信息。

【监测情报】台湾地区176app.com网站15万条用户数据泄露

泄露时间： 2026年2月28日 发布平台： BreachForums 发布者： NullPointerException 验证状态： ⚠️ 尚未经独立验证

发布者”NullPointerException”声称泄露台湾地区网站176app.com的用户数据库，包含15万条记录，数据格式为CSV，压缩包大小11MB。发布者未在帖子中直接提供样本或下载链接，而是要求通过其Telegram频道免费获取，这种”引流”策略可能是为了建立私密交易渠道或筛选”优质买家”。

八、已验证事件补充：Substack与ManoMano大规模泄露

【已验证】Substack用户数据库泄露

泄露时间： 2026年2月 发布平台： BreachForums 发布者： w1kkid 验证状态： ✅ 已验证（Substack确认调查）

声称规模： 100万用户记录 泄露内容： 用户名、邮箱地址、IP地址、注册日期、订阅状态 影响： Substack作为知名内容创作平台，其用户多为记者、作家、意见领袖，数据泄露可能导致言论自由风险

【已验证】ManoMano电商平台泄露

泄露时间： 2026年2月 发布平台： BreachForums 发布者： Indra 验证状态： ✅ 已验证（ManoMano确认安全事件）

声称规模： 300万客户记录 泄露内容： 姓名、邮箱、电话、地址、订单历史、支付卡信息（部分） 影响： 欧洲知名家居电商平台，GDPR合规面临重大考验

九、暗网论坛生态观察：从集中化到碎片化

从本次监测的14起事件（6起已验证，8起待验证）来看，暗网生态正经历深刻变革：

1. 平台分布变化

| 论坛 | 声称事件数量 | 已验证 | 特点 | | — | — | — | — | | BreachForums | 10 | 2 | 依然主导，但面临”狼来了”效应 | | DARKFORUMS | 2 | 1 | 俄语市场重要参与者，专注高价值目标 | | INC Ransom自有站点 | 1 | 0 | 勒索软件组织”去平台化”趋势 | | RAMP | 0（已覆灭） | – | 1月28日查封，生态位待填补 |

2. 信任机制重构

从开放到封闭： T1erOne的付费准入制代表新趋势
多平台运营： 攻击者同时在BreachForums、DARKFORUMS、Telegram发布信息，降低单点风险
加密通信： Session应用成为高价值交易的标准配置

3. 虚假信息识别要点

十、防御建议与趋势预警

对政府及关键基础设施机构：

立即审计邮箱系统： 强制启用多因素认证（MFA），监控异常登录行为
数据分类加密： 对敏感数据实施分级保护，核心数据物理隔离
供应链安全审查： Daricon声称事件表明，国防承包商是薄弱环节
暗网监测： 建立针对BreachForums、DARKFORUMS等平台的威胁情报收集能力，但需专业团队甄别真伪

对企业和个人：

密码管理： 避免重复使用密码，使用密码管理器生成强密码
监控暗网： 利用Have I Been Pwned等工具监控自身数据泄露情况
警惕社会工程学： 执法机构邮箱若被泄露，可能被用于精准钓鱼攻击
能源行业特别警惕： Endesa事件显示，能源巨头成为高价值目标

趋势预警：

2026年2-3月的事件显示，“政府-军事-执法”三位一体的攻击声称模式正在形成。无论真实性如何，这种”高调宣称”本身已成为网络心理战的一部分——旨在制造恐慌、损害政府公信力、或单纯为了”营销”黑客服务。

RAMP覆灭后的生态重构意味着攻击者将更加隐蔽，执法机构需适应”碎片化暗网”的新挑战。同时，虚假信息泛滥已成为暗网经济的新特征，买家和监测者都需提高警惕。

本文基于暗网威胁情报监测整理，已明确标注验证状态。未经验证的事件仅供威胁情报研究参考，不构成事实认定。建议读者结合官方通报和第三方验证进行交叉确认。

数据来源：

BreachForums、DARKFORUMS、RAMP、XSS、Exploit暗网论坛监测
INC Ransom、DragonForce勒索软件组织泄露站点
⚠️ 重要免责声明

1. 信息性质声明

本文所载内容基于对公开网络及暗网威胁情报平台的监测整理，部分事件来源于暗网论坛用户声称，未经独立第三方验证。文中已明确标注”已验证”或”监测情报（待验证）”状态，读者应自行甄别信息真实性，不构成任何事实认定或法律意见。

2. 用途限制

本文仅供网络安全研究、威胁情报分析及教育目的使用。严禁将本文信息用于：
任何非法访问计算机系统或网络的行为
购买、出售或交换 stolen data（被盗数据）
实施诈骗、勒索、身份盗窃或其他犯罪活动
威胁、骚扰或侵犯任何个人或组织的合法权益

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《2026年2-3月全球重大数据泄露事件深度监测报告》