1,000 起数据泄露事件之后，披露延迟比以往更严重

Troy Hunt 2026/06/01 08:22 新闻

摘要

Troy Hunt 标记了添加到 Have I Been Pwned 的第 1,000 个数据泄露事件，并强调延迟披露问题日益严重，以 Carnival 数据泄露为例，受害者超过六周未收到通知。

<img src="https://storage.ghost.io/c/fb/33/fb3391dc-723d-4e74-b95a-d641b5feb38e/content/images/2026/06/photo_2026-05-31_20-34-34.jpg" alt="加载第1000起数据泄露后，披露延迟问题比以往更严重">今天，我将第1000起数据泄露事件加载到了 <a href="https://haveibeenpwned.com/?ref=troyhunt.com" rel="noreferrer">Have I Been Pwned</a> 中。回顾这个里程碑数字，我在思考如何用文字纪念这一时刻时，脑海中立刻浮现出一个非常简单的问题：为什么它仍然有必要存在？尤其是考虑到从我创办 HIBP 以来的12年半里，GDPR 和 CCPA 等隐私法规相继出台。它到底还有什么用？标题其实已经透露了答案，而我们今天达到的这个大数字，恰好伴随着另一个让情况变得更糟的模式：越来越长的披露滞后时间。这一切都只是经验之谈，据我所知，并没有确凿的数据可以引用，但证据无处不在。我的意思是这样的：  <blockquote class="twitter-tweet">新泄露：邮轮运营商 Carnival 上周成为 ShinyHunters “付款或泄露”攻击的目标。870万条记录，其中750万个电子邮件地址和忠诚度计划数据已于昨日公布。85% 已在 <a href="https://x.com/haveibeenpwned?ref_src=twsrc%5Etfw&ref=troyhunt.com">@haveibeenpwned</a> 中。了解更多： <a href="https://t.co/QhqNt0WucV?ref=troyhunt.com">https://t.co/QhqNt0WucV</a>— Have I Been Pwned (@haveibeenpwned) <a href="https://x.com/haveibeenpwned/status/2047497445383528908?ref_src=twsrc%5Etfw&ref=troyhunt.com">2026年4月24日</a></blockquote> <script async src="https://platform.x.com/widgets.js" charset="utf-8"></script>  那是4月24日，距离 <a href="https://cyberinsider.com/carnival-corporation-probes-data-breach-after-claims-of-8-7m-records-theft/?ref=troyhunt.com" rel="noreferrer">事件曝光</a> 已经过去了五天。根据 ShinyHunters 的一贯手法，Carnival 在他们通过网站宣布即将泄露以加大勒索压力之前的许多天，就应该已经知道了这次泄露。随后在24日的泄露非常公开：该组织在其暗网网站上发布了公告，数据本身也被发布到了他们的明网网站，业内评论也随之而来：  <blockquote class="twitter-tweet">🚨 大规模数据泄露 Carnival Corporation（<a href="https://t.co/pGlchZ1yFy?ref=troyhunt.com">https://t.co/pGlchZ1yFy</a>）据报受影响 —— 超过870万客户记录曝光 📊 据称数据包括： • 全名和电子邮件地址 • 出生日期和性别 • 位置数据和忠诚度计划详情 🎯 与 ShinyHunters 有关…… <a href="https://t.co/Fd8tNFPqpd?ref=troyhunt.com">pic.twitter.com/Fd8tNFPqpd</a>— Intel and Breaches (@IBreaches) <a href="https://x.com/IBreaches/status/2047764076785463722?ref_src=twsrc%5Etfw&ref=troyhunt.com">2026年4月24日</a></blockquote> <script async src="https://platform.x.com/widgets.js" charset="utf-8"></script>  根据最后那条帖子，这些数据随后被转发到了各种其他地方：黑客论坛、Telegram 频道，以及数不清的其他更私密的地方。关键是，它传播得迅速、广泛，而且毫无疑问，Carnival 对此是知情的。<a href="https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/d6729ef2-7bb3-42d3-abdd-99a1dd8f2415.html?ref=troyhunt.com" rel="noreferrer">然后他们在5月27日才告知公众此事</a>。根据 <a href="https://api.kscope.io/ks-doc-view?key=fde6d8e0-6260-46ee-9286-9578b2baf99c&content=benznews&docid=146ca2a0b6b2c9132af22b2efdfcee546d60ba59&allow_back=true&ref=troyhunt.com" rel="noreferrer">同一天的新闻稿</a>，距离他们得知事件已经过去了43天。在超过6周的时间里，数据泄露受害者——他们的姓名、出生日期、电子邮件地址、忠诚度计划详情，当然还有与 Carnival 的关联——已经大规模公开泄露，却对自身暴露毫不知情。而如果他们向 Carnival 询问此事呢？好吧：  <blockquote class="twitter-tweet" data-conversation="none">就在四天前，我们听到有人说“根据 HIBP 我在泄露中，但 Carnival 告诉我没有泄露！” <a href="https://t.co/YYmGm3NzEY?ref=troyhunt.com">pic.twitter.com/YYmGm3NzEY</a>— Troy Hunt (@troyhunt) <a href="https://x.com/troyhunt/status/2060082594818224480?ref_src=twsrc%5Etfw&ref=troyhunt.com">2026年5月28日</a></blockquote> <script async src="https://platform.x.com/widgets.js" charset="utf-8"></script>  那么，为什么会有延迟？<a href="https://www.theregister.com/cyber-crime/2026/05/28/carnival-shinyhunters-cruised-off-with-6m-customer-records/5247808?ref=troyhunt.com" rel="noreferrer">上周的新闻报道</a>或许能提供一些线索：<blockquote>对受影响数据进行全面且耗时的分析</blockquote>我经常听到的延迟披露理由是“我们需要在通知人们之前全面评估暴露数据的范围”。我对这种说法的异议在于，它暗示在完全了解影响之前，连一个早期的预警都无法发出。数据泄露之后，有很多事情需要时间来确认：每个个体所处的司法管辖区、他们具体暴露的数据，以及可能深埋在数TB不同格式外泄数据中的额外信息。但提取电子邮件地址并发送早期通知是非常容易的——我已经做过一千次了。这不仅仅是 Carnival 的问题；事实上，正是在几天后的另一起事件之后，我才决定写这篇文章：<figure class="kg-card kg-image-card"><img src="https://storage.ghost.io/c/fb/33/fb3391dc-723d-4e74-b95a-d641b5feb38e/content/images/2026/05/image-1.png" class="kg-image" alt="加载第1000起数据泄露后，披露延迟问题比以往更严重" loading="lazy" width="1220" height="1085" srcset="https://storage.ghost.io/c/fb/33/fb3391dc-723d-4e74-b95a-d641b5feb38e/content/images/size/w600/2026/05/image-1.png 600w, https://storage.ghost.io/c/fb/33/fb3391dc-723d-4e74-b95a-d641b5feb38e/content/images/size/w1000/2026/05/image-1.png 1000w, https://storage.ghost.io/c/fb/33/fb3391dc-723d-4e74-b95a-d641b5feb38e/content/images/2026/05/image-1.png 1220w" sizes="(min-width: 720px) 720px"></figure>真是的。45天。比 Carnival 还要糟糕。而且和 Carnival 一样，非常广泛地传播，普通大众包括 HIBP 都能轻松获取：  <blockquote class="twitter-tweet">新泄露：Zara 上月被指为 ShinyHunters 的受害者，之后包含19.7万个唯一电子邮件地址的数据被公布。受影响数据包括客户支持记录、产品 SKU 和订单 ID。60% 已在 <a href="https://x.com/haveibeenpwned?ref_src=twsrc%5Etfw&ref=troyhunt.com">@haveibeenpwned</a> 中。了解更多： <a href="https://t.co/0hIQbqoBCk?ref=troyhunt.com">https://t.co/0hIQbqoBCk</a>— Have I Been Pwned (@haveibeenpwned) <a href="https://x.com/haveibeenpwned/status/2052650516304609420?ref_src=twsrc%5Etfw&ref=troyhunt.com">2026年5月8日</a></blockquote> <script async src="https://platform.x.com/widgets.js" charset="utf-8"></script>  我有一个工作理论，认为披露延迟之所以恶化，部分原因是集体诉讼的泛滥——它们立即

查看原文

查看缓存全文

缓存时间: 2026/06/01 18:34

# 1000次数据泄露之后，披露延迟比以往任何时候更严重今天，我将第1000起数据泄露加载到了“我是否被入侵”(https://haveibeenpwned.com/?ref=troyhunt.com)。回顾这一里程碑数字时，我思考该如何用文字记录这一时刻，脑海中立刻浮现出一个非常简单的问题：为什么它仍然必不可少？尤其是在我启动HIBP以来的12年半里，GDPR和CCPA等隐私法规相继出现，它还能发挥什么作用？标题已经泄露了答案，而我们今天触及的大数字恰好伴随着另一个让情况更糟的模式：日益增长的披露延迟。这些都是基于个人经验的观察，据我所知，并没有可靠的数据可供引用，但证据比比皆是。我的意思是： > 新泄露：邮轮运营商嘉年华在“ShinyHunters”发起的“付费或泄露”攻击中成为目标。870万条记录，包含750万个电子邮件地址和忠诚度计划数据，昨天已被公开。85%的数据已在@haveibeenpwned (https://x.com/haveibeenpwned?ref_src=twsrc%5Etfw&ref=troyhunt.com)中出现。了解更多：https://t.co/QhqNt0WucV?ref=troyhunt.com – Have I Been Pwned (@haveibeenpwned) 2026年4月24日 (https://x.com/haveibeenpwned/status/2047497445383528908?ref_src=twsrc%5Etfw&ref=troyhunt.com) 那是4月24日，距离事件新闻爆出 (https://cyberinsider.com/carnival-corporation-probes-data-breach-after-claims-of-8-7m-records-theft/?ref=troyhunt.com)已经过去了五天。考虑到ShinyHunters的一贯手法，嘉年华在勒索压力升级、于其网站上宣布即将泄露的许多天之前就应该知晓此次泄露。随后4月24日的公开泄露非常公开：该组织在暗网网站发布了公告，数据本身也发布到了他们的*明网*网站，随后业界评论也跟进了： > 🚨 大规模数据泄露：据悉嘉年华公司 (https://t.co/pGlchZ1yFy?ref=troyhunt.com) 受到影响 —— 超过870万客户记录被暴露 📊 据称泄露数据包括：• 全名与电子邮件地址 • 出生日期与性别 • 位置数据与忠诚度计划详情 🎯 与ShinyHunters相关...pic.twitter.com/Fd8tNFPqpd (https://t.co/Fd8tNFPqpd?ref=troyhunt.com) – Intel and Breaches (@IBreaches) 2026年4月24日 (https://x.com/IBreaches/status/2047764076785463722?ref_src=twsrc%5Etfw&ref=troyhunt.com) 根据最后一条推文，这些数据随后被转发到其他各种地方：黑客论坛、Telegram频道，以及不知道多少个更私密的场所。关键是它传播得迅速、广泛，而且毫无疑问，嘉年华对此知情。然后他们在5月27日才告知公众 (https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/d6729ef2-7bb3-42d3-abdd-99a1dd8f2415.html?ref=troyhunt.com)。根据他们当天的新闻稿 (https://api.kscope.io/ks-doc-view?key=fde6d8e0-6260-46ee-9286-9578b2baf99c&content=benznews&docid=146ca2a0b6b2c9132af22b2efdfcee546d60ba59&allow_back=true&ref=troyhunt.com)，这是在得知事件后43天。超过6周的时间里，数据泄露受害者的姓名、出生日期、电子邮件地址、忠诚度计划详情，当然还有他们与嘉年华的关联都被大规模公开，但他们完全不知道自己的信息已暴露。如果他们向嘉年华询问呢？嗯： > 就在四天前，我们听到有人说“HIBP显示我处于泄露中，但嘉年华告诉我没有泄露！”pic.twitter.com/YYmGm3NzEY (https://t.co/YYmGm3NzEY?ref=troyhunt.com) – Troy Hunt (@troyhunt) 2026年5月28日 (https://x.com/troyhunt/status/2060082594818224480?ref_src=twsrc%5Etfw&ref=troyhunt.com) 那么，为什么会有延迟？上周的媒体报道 (https://www.theregister.com/cyber-crime/2026/05/28/carnival-shinyhunters-cruised-off-with-6m-customer-records/5247808?ref=troyhunt.com)可能给出了一些见解： > 对受影响数据进行彻底且耗时的分析我常常听到的延迟披露理由是“我们需要充分评估所暴露数据的范围，然后才能通知公众”。我对这一立场的问题在于，它暗示在尚未对影响有非常全面的了解之前，连初步的提醒都不能发出。数据泄露后有许多事情需要时间来确定：每个受害者所在的司法管辖区、他们被暴露的具体数据，以及可能埋藏在数TB不同格式的被窃数据中的额外信息。但提取电子邮件地址并发送早期通知是*非常*容易的——我已经实实在在地做了上千次了。这不仅仅是嘉年华的问题；事实上，正是几天后发生的另一件事促使我写了这篇文章：真是服了。45天。比嘉年华还糟糕。而且和嘉年华一样，*非常*广泛地分布，普通大众包括HIBP都容易获取： > 新泄露：Zara被点名是上个月的一个ShinyHunters受害者，之后包含19.7万个独特电子邮件地址的数据被公开。受影响数据包括客户支持记录、产品SKU和订单ID。60%已在@haveibeenpwned (https://x.com/haveibeenpwned?ref_src=twsrc%5Etfw&ref=troyhunt.com)中出现。更多信息：https://t.co/0hIQbqoBCk?ref=troyhunt.com – Have I Been Pwned (@haveibeenpwned) 2026年5月8日 (https://x.com/haveibeenpwned/status/2052650516304609420?ref_src=twsrc%5Etfw&ref=troyhunt.com) 我有一个工作假设：披露延迟恶化，部分原因是泄露后*立即*出现的集体诉讼激增。在上周末的直播中，我快速搜索了一下DentaQuest泄露事件：前四个结果中有三个都是与该泄露相关的集体诉讼，页面下方还有更多集体诉讼结果。多年来我一直在担忧集体诉讼的不利影响 (https://www.troyhunt.com/data-breaches-class-actions-and-ambulance-chasing/)，而且情况比我见过的任何时候都要糟，差距还很大。并非只有我观察到这些组织的行为似乎受到律师如何回应的左右。请看看Roby Joyce (https://en.wikipedia.org/wiki/Rob_Joyce?ref=troyhunt.com) 在通过HIBP得知自己暴露在ZenBusiness泄露中后写的这篇文章（如果你还不清楚他为何值得关注，请先看他的简介）：特别引起我注意的是这句话： > 那不是客户保护的姿态。那是诉讼姿态。这不是优先考虑客户，而是保护组织。我认为大多数人没有意识到，组织的责任首先是对其股东负责。所有关于“客户是我们的第一要务”和“我们重视安全”的客套话，相对于股东满意度都是次要的，而尽量减少被告到破产的机会是其中的重要部分。 Rob上面引用的评论紧接在他向ZenBusiness询问事件后得到的回复： > 如果我们确定事件导致您的受保护PII暴露，我们将按照法律要求提供通知这让我想到了与披露延迟相关的下一个问题：它可能是无限期的。我的意思是，你可能*永远*不会被通知。永远不会。GDPR允许这样做。CCPA允许这样做。你当地的任何隐私法规缩写也允许这样做。几年前，我曾写过关于数据泄露披露难题的文章 (https://www.troyhunt.com/the-data-breach-disclosure-conundrum/)，解释了隐私法规如何非常具体地对必须通知数据泄露受害者的情形做出例外规定。例如： > *如果泄露很可能导致对个人权利和自由造成**高风险**，你还必须毫不拖延地通知这些个人。* 这是英国的规定，再看我们澳大利亚的例外： > 根据可通报数据泄露计划，必须遵守澳大利亚隐私法的组织或机构必须在数据泄露**很可能对您造成严重伤害**时通知您。你看到漏洞了吗？据我所知，ZenBusiness仍未联系任何个人受害者。而且和嘉年华、Zara一样，他们的数据到处都是。上周报道的Charter也是如此，他们被引述如下 (https://www.bleepingcomputer.com/news/security/charter-confirms-data-breach-after-shinyhunters-extortion-threat/?ref=troyhunt.com)： > 威胁行为者近期活动未窃取任何敏感个人信息(PI)或客户专有网络信息(CPNI) 我没有听说他们向个人做出任何披露，但用Rob的话说，这句话在我看来就是法律姿态。当然，从技术上讲是对的：例如，根据加利福尼亚州的CCPA (https://www.oag.ca.gov/privacy/ccpa?ref=troyhunt.com)，敏感PII有非常明确的定义： > 个人信息的特定子集，包括某些政府标识符（如社会安全号码）；账户登录、金融账户、借记卡或信用卡号及任何所需的安全码、密码或允许访问账户的凭证；精确地理位置；邮件、电子邮件和短信内容；基因数据；为识别消费者而处理的生物识别信息；有关消费者健康、性生活或性取向的信息；或有关种族或族裔、宗教或哲学信仰或工会会员的信息。 GDPR对“个人数据的特殊类别 (https://gdpr-info.eu/art-9-gdpr/?utm_source=chatgpt.com)”有类似的定义： > 揭示种族或族裔、政治观点、宗教或哲学信仰或工会会员的个人数据，以及为唯一识别自然人而处理的基因数据、生物识别数据，有关健康的数据或有关个人性生活或性取向的数据换句话说，以上定义均不适用于我上面例子中ShinyHunters的任何泄露。多年来，我多次与遭受泄露的公司开会，显然他们试图绕过披露义务。显然，这些义务并非*法律*义务，但我要说它们是*社会*义务。我们期望当数据泄露时得到通知，并且认为组织有义务告知我们。这就是差距所在。最后，我要承认，我在这里提到的每一个组织，以及我加载到HIBP中的每一个组织，都是犯罪行为的受害者。我对那些成为紧急勒索目标的人特别同情，我知道对于那些被留下来清理乱局的公司员工来说，这绝对是一场噩梦。然而……我们就处在这样的局面。显然，他们在泄露披露方面的目标与我们的目标不一致，这就是为什么在1000次泄露之后，HIBP仍然存在。

1,000 起数据泄露事件之后，披露延迟比以往更严重

相似文章

每周更新 494

每周更新 506

90天披露政策已死

每周更新497

Weekly Update 505

提交意见反馈