1000 起数据泄露后信息披露延迟更严重隐私法规下企业责任与期望差距凸显2026 年 6 月 1 日我将第 1000 起数据泄露事件录入了 Have I Been Pwned简称 HIBP。回顾这一里程碑数字我不禁思索在我创建 HIBP 后的 12 年半里像 GDPR 和 CCPA 这样的隐私法规已出现为何仍需要 HIBP文章标题其实已给出答案而如今达到的庞大数字正与信息披露延迟时间变长这一更糟现象相吻合。这些虽只是经验判断暂无确切数据引用但证据随处可见。下面详细解释新的泄露事件邮轮运营商嘉年华Carnival上周遭到了 ShinyHunters 组织“交钱或泄密”的攻击。870 万条记录包含 750 万个电子邮件地址和会员忠诚度计划数据于昨日被公布。其中 85% 的数据此前已被录入 haveibeenpwned。更多信息请见https://t.co/QhqNt0WucV这是 4 月 24 日发布的消息而 事件的新闻早在 5 天前就已曝光。鉴于 ShinyHunters 的作案手法嘉年华在该组织在其网站上宣布即将泄露数据以加大勒索压力之前就应知晓此次数据泄露事件。4 月 24 日的数据泄露行为非常公开该组织在其暗网网站上发布了公告数据本身也被发布到了他们的“明网”网站上随后行业内也展开了相关讨论重大数据泄露事件据报道嘉年华公司https://t.co/pGlchZ1yFy受到影响 — 870 多万条客户记录被泄露泄露的数据包括全名和电子邮件地址出生日期和性别位置数据和会员忠诚度计划详情与 ShinyHunters 组织有关…pic.twitter.com/Fd8tNFPqpd根据最后这条推文数据随后被转发到了各种其他地方黑客论坛、Telegram 群组以及其他许多更私密的地方。关键在于数据传播迅速且广泛毫无疑问嘉年华对此是知情的。然而他们直到 5 月 27 日才向公众披露此事。根据 他们当天发布的新闻稿这距离他们得知该事件已经过去了 43 天。在超过 6 周的时间里那些姓名、出生日期、电子邮件地址、会员忠诚度计划详情以及与嘉年华的关联信息被大量泄露给公众的数据泄露受害者完全不知道自己的信息已经泄露。如果他们向嘉年华询问此事呢看看下面这条推文就在四天前我们还听到有人说“根据 HIBP我遭遇了数据泄露但嘉年华却告诉我没有发生泄露”pic.twitter.com/YYmGm3NzEY那么为什么会出现这种延迟呢上周的新闻报道或许能提供一些线索对受影响数据进行全面且耗时的分析我经常听到的信息披露延迟的原因是“我们需要在通知公众之前全面评估泄露数据的范围”。我对这种说法的质疑在于它意味着在对影响有非常全面的了解之前甚至连提前告知都无法做到。数据泄露发生后有很多事情需要时间来确定比如每个受害者所在的司法管辖区、他们被泄露的确切数据以及可能隐藏在数 TB 以各种不同格式窃取的数据中的额外信息。但提取电子邮件地址并提前发出通知其实非常简单 — 我已经做过无数次了。这不仅仅是嘉年华的问题事实上几天后发生的另一起事件促使我写下了这篇文章天哪45 天。比嘉年华的情况还要糟糕。和嘉年华一样这些数据也被广泛传播大众很容易就能获取到HIBP 也收录了相关信息新的泄露事件上个月Zara 被指成为 ShinyHunters 的攻击目标随后包含 19.7 万个唯一电子邮件地址的数据被公布。受影响的数据包括客户支持记录、产品 SKU 和订单 ID。其中 60% 的数据此前已被录入 haveibeenpwned。更多信息请见https://t.co/0hIQbqoBCk我有一个初步的理论信息披露延迟问题愈发严重部分原因是数据泄露事件发生后集体诉讼迅速增多。上周末我在直播时快速搜索了 DentaQuest 数据泄露事件搜索结果的前四条中有三条都是与该数据泄露事件相关的集体诉讼信息页面下方还有另外两条集体诉讼相关的结果。多年来我一直对集体诉讼的负面影响表示担忧而现在的情况比我以往见过的任何时候都要糟糕而且差距非常大。不仅仅是我注意到这些公司的行为似乎受到了律师反应的影响。看看 Roby Joyce如果你还不了解他不妨看看他的简介就知道他为何值得关注在通过 HIBP 得知自己在 ZenBusiness 数据泄露事件中信息被泄露后发布的这篇文章特别引起我注意的是这句话这不是以保护客户为出发点而是以应对诉讼为目的。这不是在优先考虑客户而是在保护公司自身。我认为大多数人没有意识到公司的责任首先是对股东负责。那些“客户是我们的首要任务”和“我们非常重视安全”之类的漂亮话都比不上让股东满意重要而尽量避免被起诉也是其中的重要一环。Rob 上面引用的评论是在他向 ZenBusiness 询问该事件后得到的回复之后发表的如果我们确定某起事件导致您的受保护个人身份信息PII泄露我们将按照法律要求进行通知这就引出了与信息披露延迟相关的另一个问题延迟时间可能是无限的。也就是说你可能永远都不会得到通知。GDPR 允许这种情况发生CCPA 也允许无论你所在地区的隐私法规叫什么可能都存在类似的情况。几年前我写过一篇关于 数据泄露披露难题 的文章解释了隐私法规在哪些情况下必须通知数据泄露受害者方面有非常具体的豁免条款。例如如果数据泄露可能对个人的权利和自由造成高度风险您必须毫不拖延地通知这些个人。这是英国的规定下面是澳大利亚的相关规定根据可通知数据泄露计划必须遵守澳大利亚隐私法的组织或机构如果数据泄露可能对您造成严重伤害则必须告知您你看出其中的漏洞了吗据我所知ZenBusiness 仍然没有联系任何受影响的个人。和嘉年华、Zara 一样他们的数据已经广泛传播。上周登上新闻的 Charter 公司也是如此他们曾发表声明称由于近期的活动威胁行为者并未窃取任何敏感个人信息PI或客户专有网络信息CPNI数据我不知道他们是否向个人进行了披露但用 Rob 的话说这句话在我看来更像是一种法律姿态。当然从技术层面来说是正确的例如根据 加利福尼亚州的 CCPA对敏感 PII 有非常明确的定义个人信息的特定子集包括某些政府标识符如社会安全号码账户登录信息、金融账户、借记卡或信用卡号码以及任何所需的安全代码、密码或访问账户的凭证精确的地理位置信息邮件、电子邮件和短信内容基因数据用于识别消费者的生物识别信息有关消费者健康、性生活或性取向的信息或有关种族或民族出身、宗教或哲学信仰或工会会员身份的信息。GDPR 对“特殊类别的个人数据”也有类似的定义揭示种族或民族出身、政治观点、宗教或哲学信仰或工会会员身份的个人数据以及用于唯一识别自然人的基因数据、生物识别数据、有关健康的数据或有关自然人的性生活或性取向的数据换句话说我上面提到的 ShinyHunters 组织的所有数据泄露事件都不涉及这些定义中的内容。多年来我参加过许多与数据泄露公司的会议明显能感觉到他们在试图规避信息披露义务。显然这些义务并非法律强制要求但我认为它们是社会责任。我们期望在个人数据泄露时得到通知并且认为公司有义务告知我们。这就是现实与期望之间的差距。最后我要说明的是我在这里提到的每家公司以及所有被录入 HIBP 的公司都是犯罪行为的受害者。我特别同情那些成为激进勒索活动目标的公司也知道公司里那些负责收拾残局的人经历了噩梦般的日子。然而……现实就是如此。显然在数据泄露披露方面他们的目标与我们的期望并不一致这就是为什么在发生 1000 起数据泄露事件后HIBP 仍然有存在的必要。我经常围绕这些主题举办 私人研讨会以下是我即将参加的活动必读文章数据泄露披露 101失败后如何成功应对联网 CloudPets 泰迪熊的数据泄露并被勒索儿童语音信息遭泄露我是如何验证数据泄露事件的当一个国家遭遇黑客攻击解读菲律宾重大数据泄露事件我如何优化生活让工作变得多余还没有注册 Pluralsight来个 10 天免费试用怎么样 这将让你可以访问数千门课程其中有几十门是我自己的课程包括ASP.NET 的 OWASP 前 10 大 Web 应用程序安全风险每个开发者都必须了解的 HTTPS 知识先黑自己如何发起网络攻击信息安全全景图道德黑客社会工程学使用 Azure 平台即服务实现网站现代化浏览器安全头文件入门道德黑客SQL 注入Web 安全与 OWASP 前 10 大风险全景视角道德黑客攻击 Web 应用程序欢迎菲律宾政府加入 Have I Been Pwned每周更新 506订阅立即订阅选择接收新博客文章的频率每日每周嘿请确认你不是机器人正在提交...收到查看你的电子邮件点击我刚刚发送的确认链接就完成订阅啦。大家好我是 Troy Hunt我撰写此博客运营“Have I Been Pwned”还是微软区域总监和 MVP我会在世界各地的活动中发表演讲并培训技术专业人员 [/about]