1k Data Breaches Later, the Disclosure Lag Is Worse

标题：1,000次数据泄露之后，披露延迟问题比以往更严重

URL来源：https://www.troyhunt.com/1000-data-breaches-later-the-disclosure-lag-is-worse-than-ever/

发布时间：2026-06-01T08:22:52.000Z

Markdown内容： 今天，我将第1,000次数据泄露信息加载到了Have I Been Pwned。回顾这个里程碑式的数字，我思考着如何用文字来纪念这一时刻，而首先浮现在我脑海中的问题非常简单：为什么它仍然有必要？特别是考虑到自HIBP启动以来的12年半时间里，GDPR和CCPA等隐私法规的出现，它还有什么样的作用？标题已经给出了答案，而今天达到的这个大数字也与另一个使问题更加严重的模式相吻合：披露的延迟时间越来越长。

所有这些都将只是轶事，据我所知，目前还没有确切的数字可以引用，但证据无处不在。我的意思是：

那是4月24日，距离事件新闻曝光已经过去了五天。鉴于ShinyHunters的惯常做法，Carnival在他们通过网站宣布即将泄露信息并加大勒索压力之前，就已经知道这次数据泄露很多天了。随后的泄露在24日公开进行：一则公告被发布在该组织的暗网网站上，数据本身被发布到他们的_明网_网站上，随后也出现了行业评论：

根据最后那篇帖子，数据随后被重新发布到各种其他地方：黑客论坛、Telegram频道，还有谁知道还有多少其他更私密的位置。重点是，数据传播得非常迅速、广泛，而且毫无疑问，Carnival对此是完全知情的。他们在5月27日才告诉人们这件事。根据当天发布的新闻稿，这发生在他们得知这一事件后的43天。在6周多的时间里，那些姓名、出生日期、电子邮件地址、忠诚度计划详细信息以及当然还有与Carnival关联的泄露信息被大规模公开，而这些数据泄露的受害者却完全不知道自己的信息已经被泄露。如果他们向Carnival询问这件事呢？嗯：

那么，为什么会有这样的延迟？上周的新闻报道可能提供了一些见解：

对受影响数据进行彻底且耗时的分析

我经常听到人们以“我们需要在通知人们之前充分评估暴露数据的范围”作为披露延迟的原因。我对这种说法的不满在于，它暗示着即使在对影响有非常全面的理解之前，也无法进行早期的通知。在数据泄露之后，有许多事情需要时间来确认：每个个人所在的司法管辖区、关于他们的具体暴露数据，以及可能埋藏在各种不同格式的数TB被窃取数据中的其他信息。但提取电子邮件地址并发送早期通知是非常容易的——我现在已经做过上千次了。

这不仅仅是一个嘉年华（Carnival）的问题；事实上，就在几天后，由于接下来的另一个事件，我被促使写下了这篇帖子：

该死的。45天。甚至比嘉年华更糟糕。和嘉年华一样，它被非常广泛地分发，并且对大众来说非常容易访问，包括HIBP：

我有一个正在工作的理论，即披露延迟正在恶化，部分原因是集体诉讼在数据泄露后立即迅速增加。在上周末的直播中，我对DentaQuest数据泄露事件进行了快速搜索：

前四个结果中有三个都是与该泄露事件相关的集体诉讼，页面上还有另外两个集体诉讼的结果。多年来我一直对集体诉讼的负面影响表示担忧，而且现在的情况比以往任何时候都更糟糕。而且差距非常大。

这不仅仅是我在观察这些组织的行为如何受到律师反应的影响。在Roby Joyce（如果你还不知道他为什么值得关注，请查看他的简介）得知自己在ZenBusiness数据泄露事件中通过HIBP被暴露后，他写了一篇帖子，我特别关注了其中的一句话：

这不是一种客户保护的立场。这是一种诉讼应对的立场。

这并不是关于优先考虑客户，而是关于保护组织。我认为大多数人并不明白，组织的问责首先和最重要的是对其股东负责。所有关于“客户是我们最重要的优先事项”和“我们认真对待安全”的美好言辞，都次于股东的满意，而尽量减少被起诉到身败名裂的可能性，是其中很重要的一部分。

Roby上面引用的评论是在他向ZenBusiness询问事件后收到的回应之后立即出现的：

如果我们确定事件导致了您受保护的个人身份信息（PII）的泄露，我们将按照法律要求提供通知。

这引出了与披露延迟相关的下一个问题：它可能是无限的。我的意思是，你可能永远都不会被告知。永远。GDPR允许这种情况，CCPA也允许，无论你所在地区的隐私法规的缩写是什么，也允许这种情况。几年前，我写过一篇关于数据泄露披露困境的文章，其中我解释了隐私法规在哪些情况下对数据泄露受害者必须通知的具体例外情况。例如：

如果泄露很可能对个人的权利和自由造成重大不利影响，你必须在不拖延的情况下通知这些个人。

这是在英国的规定，而我们在澳大利亚的例外情况是：

根据可通知数据泄露（Notifiable Data Breaches）计划，如果数据泄露可能对你造成严重伤害，必须遵守澳大利亚隐私法的组织或机构必须通知你。

你看到其中的漏洞了吗？据我所知，ZenBusiness至今仍未联系任何个人受害者。与嘉年华（Carnival）和Zara一样，他们的数据四处散落。同样，Charter上周也上了新闻，他们被引用了如下的话（来源）：

威胁行为者并未因最近的活动而窃取任何敏感个人信息（PI）或客户专有网络信息（CPNI）数据。

我并不知道他们是否向个人披露过任何信息，但用Rob的话来说，这句话读起来像是法律上的姿态。当然，从技术上讲，这是正确的：例如，在加州的CCPA中，对敏感的PII有非常明确的定义：

个人信息的一个特定子集，包括某些政府标识符（如社会保障号码）；用于访问账户的账户登录名、金融账户、借记卡或信用卡号码以及任何必需的安全码、密码或凭证；精确的地理位置；邮件、电子邮件和短信的内容；基因数据；用于识别消费者的生物识别信息；有关消费者健康、性生活或性取向的信息；或有关种族或民族起源、宗教或哲学信仰或工会成员资格的信息。

GDPR对“特殊类别的个人数据”也有类似的定义：

揭示种族或民族起源、政治观点、宗教或哲学信仰或工会成员资格的个人数据，以及用于唯一识别自然人的基因数据、生物识别数据的处理，有关健康的数据，或有关自然人的性生活或性取向的数据。

换句话说，以上提到的所有内容都不适用于我上面提到的ShinyHunters数据泄露事件。

多年来，我参加过许多与数据泄露公司相关的会议，他们显然试图规避披露义务。显然，这些义务并不是法律上的，但我认为它们是社会上的。当我们的数据被泄露时，我们期望被通知，我们相信组织应该被要求告知我们。这就是其中的差距所在。

最后，我想指出，我在这里提到的每一家组织，以及我加载到 HIBP 中的每一家组织，都曾是犯罪行为的受害者。我对那些遭受过激勒索活动目标的人特别表示同情，我也知道，对于那些公司中不得不收拾残局的人来说，这无疑是一场噩梦。然而……我们还是到了这一步。显然，他们在数据泄露披露方面的目标与我们并不一致，这就是为什么，在经历了 1,000 次数据泄露之后，HIBP 仍然存在。