零零信安暗网新闻 | 美国UPS快递与iShip物流平台高级业务账户及供应链RCE数据包泄露

零零信安作为国内领先的暗网威胁情报服务商，专注于为政府和企业提供全域暗网情报监测、数据泄露检测及闭环事件响应服务。

黑客论坛出售UPS（联合包裹服务）及iShip物流平台高级数据包。该数据包包含UPS商店凭证、业务账户信息、营销数据库以及iShip供应链远程代码执行（RCE）利用信息。

据称泄露内容如下：

● 商业账户包（500+条）：完整信息、API keys、GUIDs、密码

● UPS商店凭证：1056条明文凭证（username:password）、191条JSON凭证（email:password）

● 营销数据库：邮箱地址、语言代码、国家代码、状态变更时间戳、沟通偏好设置（GLOBAL、PROMOTIONAL、NEW_PRODUCT、NEWSLETTER、SERVICEUPDATE）

● 标签生成系统：自动UPS运输标签生成、UPS API完整集成

● 供应链RCE利用：iShip完整软件、RCE获取方法（可用于开发个人PoC）

总结

此次泄露包含大量UPS/iShip商户账户凭证、API密钥及供应链攻击向量，风险极高，可能引发账户劫持、物流诈骗、API滥用、资金盗窃或大规模供应链攻击。受影响商户需立即修改所有凭证、轮换API密钥，并加强系统安全审查。

更多每日/月度暗网情报分析，请访问 https://00sec.com 或关注公众号“零零信安科技”。