法国武器信息系统（SIA）遭入侵泄露了62,511件武器数据

1. 执行摘要

2026年3月，暗网市场出现一则出售法国武器信息系统（Weapons Information System，疑似法国国家武器信息系统 SIA）数据的帖子。卖家 HexDex 提供约 62,511 条独特武器记录 的完整所有者追踪数据，涵盖武器详细信息及枪支持有者的全套个人可识别信息（PII）。数据以 JSON 格式交付，包含姓名、出生日期、住址、邮箱、电话、SIA 编号、武器序列号、交易历史及省府联系方式等敏感内容。

卖家未明码标价，采用“Make Offer”模式，通过 qTox 与 Session 私信联系，无任何托管（escrow）机制。目前线程无回复、无置顶，属于低活跃新帖。 威胁等级：高。泄露对象为法国合法枪支持有者，可能被用于定向抢劫、身份盗用、敲诈勒索或情报收集，对法国枪支管控与公共安全构成直接风险。

2. 事件详情

• 卖家信息：
  • 用户名：HexDex
  • 注册时间：2026 年 3 月（极新账号）
  • 信誉等级：GOD（论坛最高等级）
  • 发帖数：9，主题数：7（活跃度低）
• 出售内容：
  • 总量：62,511 条独特武器记录
  • 武器类型分布（卖家自述）：步枪 46%、霰弹枪 29%、泵动霰弹枪 11%、手枪 8%
  • 法律分类：主要为 B 类（需授权）与 C 类（需登记）
  • 交易类型分布：88% 为处置转让（销售），6% 为维修/改装，3% 为维修，其余为退还、私人间交易、销毁
  • 每条 JSON 记录包含：
    • 武器信息：类型、品牌、型号、法律分类、框架号、RGA 登记号、序列号
    • 所有者信息：当前/前任所有者全名、性别、出生日期、住址（含经纬度）、邮箱、电话、SIA 编号
    • 交易细节：日期、类型、转移/维修记录
    • 行政信息：所在省府、部门邮箱
• 样本数据（帖内公开一行示例，已脱敏处理但结构完整）：
• JSON
   

  {
    "classementArme": "C 1° a)",
    "marqueArme": "ATA ARMS",
    "modeleArme": "NEO X (SEMI-AUTO)",
    "numeroEncodage": "BY659-C24-78-H23YT-016572",
    "proprietaireCourant": {
      "nom": "LETOURNEAU",
      "prenomUn": "LOIC",
      "dateNaissance": "03/02/2005",
      "adresse": "286 CHEMIN DE CHAMPSEMARD, 71700 TOURNUS",
      "email": "[email protected]",
      "telephone": "0652228301",
      "numeroSia": "LETLOI75OEXH"
    },
    // ...（当前所有者、专业人士信息、经纬度等完整字段）
  }

   

  

• 证明材料：postimg.cc/gallery/nsrkQSM（三张 Proof 截图）及帖内直接提供的 JSON 样本。
• 交付方式：JSON 文件（每行一条记录），通过文件共享链接提供。
• 交易条款：无固定价格（Make Offer），无退款/保证条款，无托管服务。
• 联系方式（IOC）：
  • qTox：4A28031D588A8EC6EA9D6DCA4FBD07C124AB0D625DA83F9438F414FB98D084557616376A6A51
  • Session：05105cd19a40e11cf2814319e35aea0b88edecb28ec6f8f3d9aeb34aa05024346c

3. 威胁行为者分析

• HexDex 为典型“数据掮客”画像：新注册账号却拥有 GOD 信誉，暗示可能通过购买或继承老账号快速建立信任。
• 语言与数据来源高度指向法国本土或法语区行为者（帖子全英文但数据 100% 为法国 SIA 系统）。
• 无明显诈骗迹象（提供了真实 JSON 样本与详细字段），但“Make Offer + 无托管”属于暗网数据销售常见高风险模式，可能存在二次诈骗或数据不完整风险。

4. 可能来源与 TTP

• 数据来源推断：法国国家武器信息系统（Système d’Information sur les Armes，SIA）或其关联 RGA 数据库。SIA 是法国内政部统一管理的枪支登记系统，包含所有合法持枪者的完整档案。
• 获取方式可能：
  • 内部人员泄露（公务员/枪店/省府工作人员）
  • 供应链攻击或 API 渗透
  • 之前未公开的数据库泄露被重新打包销售
• TTP：批量导出 JSON → 暗网论坛明码销售 → 使用隐私即时通讯工具洽谈 → 文件链接交付。符合当前暗网 PII 交易主流手法。

5. 潜在影响评估

• 直接受害者：约 62,511 名法国合法枪支持有者（含个人与企业），其家庭住址、联系方式、持枪种类全部暴露。
• 次生风险：
  • 定向入室抢劫（犯罪分子可精准锁定“有枪家庭”）
  • 身份盗用与金融诈骗
  • 反枪支团体或极端组织用于骚扰/威胁
  • 情报机构或外国势力用于监控法国枪支持有群体
  • 连锁泄露：SIA 编号可进一步关联其他政府数据库
• 地域影响：主要限于法国本土，但数据可跨境传播。
• 时间敏感性：数据包含 2025 年最新地址更新，极具时效性。

6. 指标与 IOC（Indicators of Compromise）

• 论坛 IOC：DarkForums.su Thread “Selling-FR-60K-Weapons-Weapons-Information-System”
• 卖家 IOC：用户名 HexDex，qTox/Session ID（见上）
• 证明 IOC：https://postimg.cc/gallery/nsrkQSM
• 数据样本哈希：可通过帖内 JSON 结构进行指纹比对
• 关联 paste：https://pastes.io/nZz50JO8