西班牙国家警察PKI目录暴露事件

2026年2月3日，【暗网威胁情报监测系统发现】黑客曝光了西班牙国家警察（Policía Nacional）的公钥基础设施（PKI）目录，无需认证即可访问多个敏感文件夹，包括证书吊销列表（CRLs）、权威吊销列表（ARLs）、根证书和中间证书等内容。这些暴露数据与西班牙的电子国家身份证（DNIe）、Cl@ve数字身份系统以及生物识别护照相关。

背景信息

西班牙国家警察的PKI系统负责管理国家数字身份和安全证书，包括DNIe（电子国家身份证）、Cl@ve（数字身份验证平台）和生物识别护照的证书链。此类系统通常应实施严格的访问控制，以防止未经授权的访问。暴露事件可能源于配置错误，如Web服务器的目录索引启用（Directory Listing Enabled），这在Apache或类似服务器中常见。

泄露内容

暴露的目录包括以下文件夹：

• _arls/：包含权威吊销列表（ARLs）。
• _cl@ve/：与Cl@ve数字身份系统相关的证书和政策。
• _cnp/：可能与国家警察（CNP）内部证书相关。
• _csca/：证书签名证书权威（CSCA），常用于护照和旅行文档。
• _cvca/：证书验证证书权威（CVCA），用于生物识别护照的验证链。
• _dnie/：电子DNI（DNIe）相关证书。

这些文件夹中可访问的文件包括：

• 证书吊销列表（CRLs）：用于检查证书有效性。
• 根证书和中间证书：构成信任链的核心组件。
• 认证政策文档：描述证书颁发和管理的规则。

无证据显示私钥或其他加密材料直接暴露，但公开的CRLs和证书允许攻击者分析吊销模式，可能识别特定目标的证书状态。

结论

西班牙国家警察PKI目录暴露事件凸显了配置错误在国家关键基础设施中的风险。尽管目前无活跃利用迹象，但暴露的敏感数据可能被恶意行为者滥用，导致严重的安全后果。