大规模暗网数据泄露暴露俄罗斯票务巨头 Kassy.ru

俄罗斯大型活动票务服务Kassy.ru在2025年12月29日遭遇数据泄露，危及超过30万用户的记录。威胁行为者“Demetrius”在DarkForums上发布了整个数据库，暗示其内容包含电子邮件、电话号码、密码、支付凭证和Telegram ID。有迹象表明，过去也曾有票务服务Ticket to Cash发生泄露，超过50万条敏感凭证暴露，这引发了种种猜测。

Kassy.ru是一家俄罗斯电子票务平台，已成为娱乐行业内网络犯罪的又一个受害者。该公司在俄罗斯100多个城市销售音乐会、剧院和体育赛事门票，其用户数据库被泄露到暗网网站。Kassy.ru于2025年12月29日公开披露了此次数据泄露事件，该事件立即将数十万用户置于风险之中。

2025年5月，票务转售平台Ticket to Cash也泄露了大量敏感数据。当时网络安全研究员Jeremiah Fowler偶然发现了一个不安全的数据库，其中包含200GB的数据和超过50万条记录。这些事件凸显了票务平台作为网络犯罪分子窃取数据目标的脆弱性。

完整数据库被发布在犯罪论坛

Kassy.ru数据泄露是在威胁行为者“Demetrius”将窃取的数据发布在臭名昭著的DarkForums论坛时被发现的。黑客们在此类论坛上交易被盗信息。这些论坛是一个综合性的黑市，提供从被盗数据库到关键系统访问权限（例如最近出售的土耳其大学VPN凭证）的一切。

“DarkForums社区的各位好，今天我为大家上传了kassy ru的数据库泄露文件，感谢阅读，请享用！”Demetrius写道，将30万人的个人信息视为随意消遣。

泄露的数据库包含一系列令人不安的敏感信息，包括完整的法定姓名、电子邮件、电话号码、居住地址以及出生信息。泄露还暴露了登录详情和密码，使在不同平台使用相同凭证的账户面临风险。

但此次泄露的影响不止于基本联系信息。被盗数据库包括大量与支付相关的数据，例如支付ID、支付类型、预订详情和交易历史。Telegram ID和护照信息字段也遭泄露，引发了严重的隐私担忧。

Demetrius发布的示例代码片段显示了数据库结构，其中包含用于电子邮件确认状态、密码字段（哈希和明文引用）以及家庭信息的字段。其他表包括支付订单详情、授权码、支付方式、银行卡支付系统信息和银行详情。

票务转售平台同样遭到入侵

Ticket to Cash数据泄露事件进一步证明票务服务正遭受围攻。该200GB未受保护的数据库包含姓名、电子邮件地址、家庭地址和部分信用卡数据。它还保存了数千个票务文件、转账证明以及收据。

Fowler根据“内部文件夹结构”确定了数据来源是Ticket to Cash。他立即报告了此问题，但最初未收到反馈。该团队四天后才保护了数据库，但到那时已有更多凭证暴露。

目前尚不确定攻击是源自公司本身还是其合作承包商。敏感个人数据和财务凭证的披露带来了重大的隐私风险，尤其是在在线票务蓬勃发展的背景下。

受害者面临的风险

对于Kassy.ru的30万用户而言，风险是巨大且紧迫的。泄露暴露了用户名和密码，攻击者可以在其他服务上发起凭证填充攻击。由于一个人可能在多个应用中使用相同的密码，这使得凭证填充攻击成为非常严重的威胁。

其他领域普遍存在的安全漏洞放大了这种风险，例如最近发现流行的旅行应用暴露了数百万用户的敏感数据。

个人信息的被盗使攻击者能够进行极具针对性的网络钓鱼诈骗。他们可以利用窃取数据中包含的个人信息，创建看起来非常合法的电子邮件或消息。例如，他们可能冒充Kassy.ru客服人员，声称存在购票问题，并提供从被盗数据中获取的合法预订证明以建立可信度。

攻击者可以利用Telegram ID信息，通过Telegram消息服务进行极具说服力的社会工程攻击。此外，电话号码也提供了通过语音网络钓鱼（vishing）利用个人的另一种途径。

数据库中的支付信息引发了额外的危险信号。尽管尚不清楚这两次泄露是否暴露了完整的信用卡号，但犯罪分子可能会利用支付订单数据、授权码和支付系统详情进行金融欺诈或重建交易模式。