葡萄牙 CTT Locky 智能储物柜系统（快递柜）数据库泄露事件

执行摘要

2026年4月25-27日期间，葡萄牙国家邮政运营商 CTT（Correios de Portugal） 旗下 Locky 智能储物柜系统 的数据库疑似发生大规模泄露。威胁行为者 Boogeymann 声称掌握超过 100万条记录，包含大量葡萄牙公民的个人身份信息（PII）及包裹物流数据。

目前 无 CTT 官方确认，真实性仍待验证，但已构成高风险社会工程与针对性诈骗威胁。影响范围覆盖葡萄牙大量使用 Locky 服务的电商用户及隐私保护需求者。

事件概述

Locky 系统背景
Locky 是 CTT 推出的全国性智能储物柜网络，提供 24/7 自助取件服务，主要服务于电子商务最后一公里配送。用户常将其用于隐藏真实住址（例如 Wallapop、Vinted 等二手交易平台），以保护隐私。

泄露时间线

• 2026年4月25日左右：leak.pt 率先报道匿名来源泄露信息。
• 2026年4月26-27日：darkforums / BreachForums 等犯罪论坛出现销售帖；X 平台大规模传播。

攻击向量推测
目前无确切入侵细节，疑似针对 Locky 后端数据库的未经授权访问或供应链攻击。销售帖未披露具体利用方式，但声称数据完整且可直接商用。

泄露数据详情

记录数量：声称 > 1,000,000 条（发送与接收包裹记录）。

主要数据字段（综合 X 帖文、leak.pt 及论坛描述）：

• 客户全名（Nome completo）
• 电话号码（Telefone）
• 电子邮件地址（Email）
• 包裹 ID / 追踪号（Package ID / Tracking）
• 取件时间戳（Pickup timestamps）
• 物理地址 + 虚拟储物柜地址（Morada física + cacifo virtual）
• 可能包含内部系统配置（IP 地址、机器数据、后端配置）

数据敏感性：高度敏感。姓名 + 电话 + 邮箱 + 近期包裹详情的组合，可直接用于高度定制化的社会工程攻击。

影响评估与风险

高风险场景：

1. 针对性钓鱼与 SMS 诈骗：葡萄牙常见“Olá Pai / Olá Mãe”家族诈骗将精准化。攻击者可伪造 CTT 取件通知或电商发货提醒。
2. 身份盗用与账户接管：PII 组合可用于银行开户、贷款申请或接管电商/社交账户。
3. 物理安全风险：取件时间戳 + 地址模式可暴露用户日常作息、家庭空置时间，增加入室盗窃风险。
4. 基础设施暴露：若包含内部 IP/配置，可能为后续针对 CTT 系统的攻击提供跳板。
5. 声誉与监管风险：CTT 作为关键基础设施运营商，此事将引发 CNPD（葡萄牙数据保护局）调查及欧盟 GDPR 合规压力。

影响人群：葡萄牙大量中产及年轻电商用户（Locky 用户常为追求隐私的网购者）。

结论

此事件再次证明，最后一公里物流平台已成为高价值攻击目标。即使最终证实为部分数据或虚假宣传，暗网销售帖已足以引发用户恐慌与诈骗浪潮。