事件概述
2026年4月13日,【暗网威胁情报监测系统发现】威胁行为者 XyphOrix 在知名暗网数据交易论坛上发布了一则帖子,声称成功获取并泄露了 印度尼西亚国家警察(Polri)研发中心(Litbang) 的区域警察数据库。泄露数据包含多名警务人员的登录凭据、电子邮箱地址及个人信息,其中涉及 @polri.go.id 官方域名的邮箱账户,真实性较高。
本次事件是继 2025 年黑客 Bjorka 泄露 341,000 名印尼警察数据后,印尼警方再次遭遇的重大数据安全事件。
二、事件详情
数据样本分析
帖子中公开了部分泄露数据样本,整理如下:
| 姓名 | 用户名 | 邮箱 | 备注 |
|---|---|---|---|
| Dadang Sutrasno | dadangsutrasno | 67100386@polri.go.id | 官方警察邮箱 |
| Dadang Suwondo | dsuwondo | dadangsuwondo2020@gmail.com | 个人邮箱 |
| Andy Sulis Tiono | andy46 | andysulistiono30@gmail.com | 个人邮箱 |
| super user | superuser | mahesa@e-journal.id | 特权账户 |
| Wadi | wwadi | wadiwa635@gmail.com | 个人邮箱 |
| Ary Wahyono | awahyono / 26ariwahyono26 | ary318@gmail.com / ary_wahyono@yahoo.com | 多账户关联 |
| Soco Adi Wibowo | soco | socoadiwibowo@gmail.com | 个人邮箱 |
| Gabriel Wicaksono | gabriel_rxan | gabrielrandybagas91@gmail.com | 个人邮箱 |
| Annissa Yusuf | annissa | 92040558@polri.go.id | 官方警察邮箱 |
数据特征:样本共包含约 12 条用户记录,涉及至少 14 个邮箱账户(含同一用户多邮箱情况),其中 2 个为
@polri.go.id官方域名邮箱,1 个为superuser特权账户。
泄露数据类型
-
登录凭据:用户名、电子邮箱地址(疑似含密码的完整凭据,样本以“Settings”前缀呈现) -
身份信息:姓名(Given Name / Family Name) -
组织信息:隶属于印尼警察研发中心(Litbang Polri)区域数据库 -
特权账户:存在 superuser级别账户,可能具有较高系统权限
威胁行为者分析
威胁行为者画像
| 属性 | 详情 |
|---|---|
| 用户名 | XyphOrix |
| 注册时间 | 2026年4月 |
| 活动记录 | 发帖数 5,主题数 5,声望值 0 |
| 活跃周期 | 约 1 周 |
| 攻击手法 | 数据库渗透、凭据窃取 |
| 动机评估 | 炫耀型/经济动机(数据交易) |
评估:XyphOrix 为 新注册的低声望用户,其发帖数较少且均为近期活动,推测为新兴威胁行为者或更资深黑客的“马甲”账号。其行为模式符合典型的数据泄露“试水”发布——先公开样本以证明数据真实性,后续可能寻求私下交易。
可能的攻击路径分析
基于现有信息,推测攻击者可能通过以下路径获取数据:
| 路径 | 可能性 | 说明 |
|---|---|---|
| 凭证填充/撞库 | 高 | 利用已泄露的邮箱密码组合尝试登录系统 |
| 未授权API访问 | 中 | 数据库接口配置不当导致信息暴露 |
| 内部人员泄露 | 低 | 拥有合法访问权限的内部人员主动或被动泄露 |
| 钓鱼攻击 | 中 | 针对警务人员的定向钓鱼获取凭据 |
历史关联分析
印尼警方历史数据泄露事件
印尼国家警察(Polri)近年来频繁遭遇网络安全事件:
| 时间 | 事件 | 影响范围 |
|---|---|---|
| 2025年10月 | 黑客 Bjorka 泄露 | 341,000 名警务人员个人数据(姓名、军衔、联系方式等) |
| 2025年12月 | 黑客组织泄露 | Polri 高层官员 PII、人员名单及组织统计数据 |
| 2024年6月 | INAFIS 指纹数据库 | 疑似在暗网出售,售价 $1,000/2,000 条记录 |
| 2024年6月 | Brain Cipher 勒索软件 | 攻击印尼临时国家数据中心,影响近 300 个政府机构 |
| 2023年 | litbang.kalbarprov.go.id 被篡改 |
与研发中心域名相关的网页被恶意篡改 |
趋势总结
印尼政府及执法机构正面临 持续升级的网络攻击威胁,攻击频率和规模均呈上升趋势。黑客行动主义(如 Bjorka)与机会主义数据贩子(如 XyphOrix)形成双重威胁,国家关键信息基础设施的安全防护面临严峻挑战。
结论
本次印尼警察研发中心数据库泄露事件真实性较高,威胁行为者 XyphOrix 在 DarkForums 公开的样本数据中包含官方 @polri.go.id 域名邮箱和特权账户信息,与历史泄露模式一致。结合印尼警方近年来频繁遭遇数据泄露的背景,此次事件再次暴露了印尼执法机构在网络安全防护、数据治理和访问控制方面存在的系统性缺陷。
暂无评论内容