西班牙能源巨头Endesa数据泄露，超2000万用户数据疑遭暗网售卖

西班牙能源公司Endesa披露了一起数据泄露事件，大量用户核心信息遭泄露，涵盖联系方式、国民身份证号码及支付相关数据。

事件详情

Endesa发布公告称：“对此，我们遗憾地通知您，Endesa Energía 检测到一宗安全事件，导致其商业平台遭到未经授权和非法的访问。该事件损害了Endesa Energía负责保管的某些数据的机密性。尽管本公司已实施安全措施，但我们检测到有证据表明，与客户能源合同相关的某些个人数据（遭到了未经授权和非法的访问。”

Endesa是西班牙一家主要的跨国电力公用事业公司，也是西班牙最大的电力供应商。该公司发电、配电并销售电力和天然气，在国内为超过1000万客户提供服务。

Endesa是意大利公用事业集团Enel的控股子公司，Enel持有其约70%的股份。该公司约有8900名员工（2024年数据）。2024年，Endesa报告营收213亿欧元，净利润约18.9亿欧元，反映出较前一年强劲的盈利增长。

Endesa Energía 表示，攻击者侵入系统后，可能窃取了用户身份信息、联系方式、国民身份证号码、合同数据，甚至可能包含国际银行账户号码，但用户密码未被泄露。目前，公司已启动安全应急协议，阻断了所有被非法入侵的访问路径，并第一时间向受影响用户及西班牙数据保护局等监管机构进行了通报。针对此次事件的调查仍在与供应商协同推进，系统持续监控工作也在同步进行。

公告最后指出：“截至本通知发布之日，尚无证据显示本次事件涉及的数据被用于欺诈活动，因此该事件对您的合法权益与隐私自由造成高风险影响的可能性较低。即便如此，恶意人员对您个人数据的未授权访问，仍有可能导致您遭遇身份冒充、个人信息被公开泄露，或成为钓鱼诈骗、垃圾信息的攻击目标。”

Endesa提醒用户，需警惕各类可疑来电、邮件及信息，如有任何疑虑可拨打客服热线800-760-366咨询。同时切勿向陌生对象泄露个人敏感信息，若怀疑遭遇欺诈行为，应立即通知Endesa或向执法机关报案。该公司同时确认，目前所有业务与服务均正常运转。

黑客信息

对于此次数据泄露的技术细节，Endesa并未进一步披露。但有威胁攻击者在网络犯罪论坛上宣称，已从该公司窃取了1.05TB的数据。

以下是该威胁攻击者在黑客论坛发布的信息：

“我入侵了西班牙最大的电力天然气供应商 —— Endesa！拥有对一切的完全访问权限，这份数据库目前只有我一人掌握。

本帖内容已通过审核，所涉数据经核验真实且独一无二。

价格可议，数据总量达 1,055,950,885,115 字节。

这份全新出炉的 SQL 数据库中，包含超过 2000 万用户的信息，此前从未对外泄露！”

图源：Source X

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://securityaffairs.com/186861/cyber-crime/threat-actor-claims-the-theft-of-full-customer-data-from-spanish-energy-firm-endesa.html

声明：本文来自安全威胁纵横，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。