Pitney Bowes遭遇数据泄露，820万邮件地址外泄

物流科技公司Pitney Bowes近日成为黑客组织ShinyHunters新一轮勒索攻击的受害者。该公司主要生产美国邮资机及相关邮寄技术产品。

数据泄露追踪平台Have I Been Pwned（HIBP）于4月27日确认了此次泄露事件。泄露数据包含820万个唯一邮件地址，同时还涉及姓名、电话号码及实际地址等信息。其中一小部分数据来自公司内部员工记录，包含职位信息。

《The Register》曾尝试联系Pitney Bowes获取更多信息，但发送至其新闻专用邮箱的邮件均遭退回，投资者关系联系人虽处于活跃状态，但截至发稿尚未回复。

Pitney Bowes虽非家喻户晓的品牌，但它是一家实力雄厚的美国科技企业，其运输软件和邮寄技术广泛应用于日常物流场景。该公司声称在全球拥有逾60万客户，2025年营收达19亿美元。

ShinyHunters近期动作频频，HIBP持续追踪并核实该组织的攻击声明。已确认的受害方包括《侠盗猎车手》开发商Rockstar Games和实体安防巨头ADT，而该组织声称攻击过的企业名单还要长得多。

仅在过去一周内，这个网络犯罪团伙就宣称对Udemy、嘉年华邮轮以及亚洲足球联合会发动了攻击，据称泄露了数万名职业球员的个人信息及证件扫描件。《The Register》已就此事向亚洲足球联合会发出置评请求，但尚未收到回应。

在此轮攻击浪潮之前，ShinyHunters还曾对交友平台Match Group和荷兰电信运营商Odido发动攻击。该组织还于今年3月向《The Register》透露，他们通过一次Salesforce漏洞入侵，获取了近400家企业的数据。此外，ShinyHunters去年还参与了针对Salesloft Drift的大规模攻击，并与Scattered Lapsus$ Hunters等其他犯罪团伙协同作案，2025年晚些时候又攻击了数百家Salesforce客户。

事后，Pitney Bowes向《The Register》表示，公司于4月9日"发现有人未经授权访问了Salesforce客户关系管理系统中的部分记录"，入侵发生于前一天夜间，"起因是一次网络钓鱼攻击，导致一名员工的邮件账户遭到入侵"。

该公司表示："我们立即对相关环境进行了安全加固，撤销了被入侵账户的访问权限，并聘请了顶级网络安全专家和执法机构协助调查。"

Pitney Bowes确认："受影响的记录涉及企业客户账户及联系人信息。调查结果显示，此次攻击活动未扩散至Pitney Bowes的其他系统，也未发现敏感个人数据遭到访问的迹象。我们已直接通知了受影响的企业客户。"

针对ShinyHunters的威胁，该公司表示："我们已获悉某威胁行为者关于潜在数据泄露的声明，正在与网络安全专家和执法机构协同开展积极调查，并将持续监控任何数据外泄的迹象。我们已实施额外的访问控制措施，扩大了监控范围，并正在开展有针对性的员工培训。随着调查推进，我们将就重要进展及时通知客户。"

Q&A

Q1：Have I Been Pwned是什么，它如何确认数据泄露？

A：Have I Been Pwned（HIBP）是一个专门追踪数据泄露事件的平台，用户可以通过输入邮箱地址查询自己的信息是否出现在已知的泄露数据库中。在Pitney Bowes事件中，HIBP于4月27日正式确认了此次泄露，核实了820万个唯一邮件地址连同姓名、电话号码和实际地址一同被包含在泄露数据中。

Q2：Pitney Bowes数据泄露是怎么发生的？

A：此次泄露源于一次网络钓鱼攻击。攻击者通过钓鱼手段入侵了一名员工的邮件账户，进而在2025年4月8日夜间未经授权访问了Pitney Bowes的Salesforce客户关系管理系统，导致企业客户账户及联系人相关记录外泄。公司发现后立即封锁了被入侵的访问权限，并启动了安全调查。

Q3：ShinyHunters是谁，他们还攻击过哪些公司？

A：ShinyHunters是一个活跃的网络犯罪团伙，惯用"付钱或泄露数据"的勒索手段攻击大型企业。近期已确认的受害方包括游戏公司Rockstar Games、安防巨头ADT、在线教育平台Udemy、嘉年华邮轮及亚洲足球联合会等。此外，该组织还曾通过Salesforce漏洞入侵近400家企业，并参与了针对Match Group和荷兰电信运营商Odido的攻击。