1000次数据泄露之后，泄露披露的延迟比以往任何时候都更严重1,000 Data Breaches Later, the Disclosure Lag is Worse Than Ever

今天，我将第 1000 起数据泄露事件导入到了 Have I Been Pwned。回顾这个里程碑式的数字，我思考着如何用文字来纪念这一时刻，而脑海中立刻浮现出一个非常简单的问题：为什么依然需要它？特别是在我创立 HIBP 的这 12 年半里，GDPR 和 CCPA 等隐私法规相继出台，它还能起到什么作用呢？标题其实多少已经给出了答案，而且我们今天达到的这个庞大数字，恰好与另一种让一切变得更糟的趋势不谋而合：数据披露的滞后时间越来越长。

接下来要讲的多少带有轶事色彩，而且据我所知，并没有确凿的具体数据供我引用，但相关证据却随处可见。我的意思是这样的：

新增泄露事件：邮轮运营商 Carnival 在上周遭到了 ShinyHunters 的“交钱或泄露”攻击。包含 750 万个电子邮件地址和常旅客计划数据的 870 万条记录已于昨日被公布。其中 85% 的数据已存在于 @haveibeenpwned 中。了解更多：https://t.co/QhqNt0WucV— Have I Been Pwned (@haveibeenpwned) 2026年4月24日

那是 4 月 24 日，即该事件新闻爆出后的第五天。鉴于 ShinyHunters 的作案手法，在他们通过在暗网网站上宣布即将泄露数据来加大勒索压力的许多天前，Carnival 就应该已经知晓了这起泄露事件。随后在 24 日发生的数据泄露可以说是极其公开的：该组织在其暗网网站上发布了声明，数据本身也被公布在了他们的明网网站上，紧接着便出现了业界的评论：

🚨 大规模数据泄露据报道 Carnival Corporation (https://t.co/pGlchZ1yFy) 受影响——超过 870 万客户记录被暴露📊 据称泄露数据包括：• 姓名与电子邮件地址• 出生日期与性别• 位置数据与常旅客计划详情🎯 与 ShinyHunters 有关…… pic.twitter.com/Fd8tNFPqpd— Intel and Breaches (@IBreaches) 2026年4月24日

根据上一条推文，这些数据随后被转载到了各种其他地方：黑客论坛、Telegram 频道，以及天知道还有多少更为私密的角落。关键在于它的传播速度极快、范围极广，而且毫无疑问，Carnival 对此心知肚明。然而，他们直到 27 日……也就是 5 月 27 日才对外公开。根据他们当天发布的新闻稿，此时距离他们获悉该事件已过去了 43 天。在长达 6 周多的时间里，那些姓名、出生日期、电子邮件地址、常旅客计划详情以及他们与 Carnival 的关联被大规模暴露在公众面前的数据泄露受害者们，对自己的处境一无所知。那么如果他们去问 Carnival 呢？这个嘛：

就在短短四天前，我们还听到有人反馈：“根据 HIBP 的显示，我的数据在泄露名单里，但 Carnival 却告诉我根本没有发生数据泄露！” pic.twitter.com/YYmGm3NzEY— Troy Hunt (@troyhunt) 2026年5月28日

那么，为什么会拖延这么久？上周的媒体报道或许能提供一些线索：

对受影响数据进行全面且耗时的分析

我经常听到的披露滞后的原因是：“我们需要在通知人们之前，全面评估暴露数据的范围”。我对这一立场的问题在于，它暗示着在对影响有了非常全面的了解之前，连早期的预警都不可能发生。数据泄露发生后，有许多事情需要花时间去确认：每个人所处的司法管辖区、关于他们的确切暴露数据，以及可能隐藏在数TB各种格式的被盗数据中的额外信息。但是，提取电子邮件地址并发送早期通知是非常容易的——毫不夸张地说，我已经做过上千次了。

这不仅仅是 Carnival 的问题；事实上，正是在几天后发生的下一件事，促使我写下了这篇博文：

真是见鬼。整整45天。甚至比 Carnival 还糟糕。而且像 Carnival 一样，被广泛传播，大众很容易获取，包括在 HIBP 上：

新的数据泄露：上个月 Zara 被列为 ShinyHunters 的受害者，随后包含 19.7 万个唯一电子邮件地址的数据被公布。受影响的数据包括客户支持记录、产品 SKU 和订单 ID。其中 60% 已经存在于 @haveibeenpwned 中。详情：https://t.co/0hIQbqoBCk— Have I Been Pwned (@haveibeenpwned) 2026年5月8日

我有一个推测，即披露滞后日益严重，部分原因是数据泄露发生后集体诉讼立即激增。在上周末的直播中，我快速搜索了一下 DentaQuest 的数据泄露事件：

前四个搜索结果中有三个都是与此次泄露相关的集体诉讼，在页面稍靠下的位置还有两个集体诉讼的结果。多年来我一直对集体诉讼的负面影响表达担忧，而现在的情况比我以往见过的都要糟糕。而且糟糕得多。

并不是只有我观察到这些组织的行为似乎受到了律师反应的影响。读读 Roby Joyce 在通过 HIBP 得知自己在 ZenBusiness 泄露事件中受到影响后发表的这篇文章（如果你还不知道他为何值得关注，去看看他的简介）：

特别吸引我眼球的是这句话：

那不是一种保护客户的姿态。那是一种应对诉讼的姿态。

这不是在优先考虑客户，而是在保护组织。我认为大多数人并没有意识到，组织的问责对象首先且最重要的是他们的股东。所有关于“客户是我们的第一要务”和“我们高度重视安全”的客套话，都次于让股东满意，而将他们被起诉到破产的几率降到最低是其中的重要组成部分。

上面引用的 Rob 的评论，紧随他向 ZenBusiness 询问该事件后收到的回复：

如果我们确定某起事件导致了您受保护的 PII 暴露，我们将依法提供通知

这就引出了与披露滞后相关的下一个问题：它可能是无限的。我的意思是你可能永远不会被通知。永远。GDPR 允许这样做。CCPA 允许这样做。无论你当地的隐私法规缩写是什么，也都允许这样做。几年前，我写过关于数据泄露披露的困境，在其中我解释了隐私法规在必须通知数据泄露受害者的情形方面，是如何设置了非常具体的豁免条款的。例如：

如果数据泄露可能对个人的权利和自由造成高风险的不利影响，您还必须不得无故延误地通知相关个人。

这是英国的规定，以下是我们在澳大利亚的例外条款：

根据《数据泄露通报机制》（Notifiable Data Breaches scheme），必须遵守澳大利亚隐私法的组织或机构，如果发生的数据泄露可能对你造成严重伤害，就必须通知你。

你看到其中的漏洞了吧？据我所知，ZenBusiness 至今仍未联系过任何一位受害个人。而且和 Carnival 以及 Zara 一样，他们的数据已经满天飞了。Charter 也是如此，在上周的媒体报道中，他们被引述发表了以下声明：

威胁攻击者并未因近期的攻击活动而窃取任何敏感个人信息（PI）或客户专有网络信息（CPNI）数据。

我没看到他们向个人进行过任何披露，而且借用 Rob 的词来说，这句话在我看来就像是打官腔。当然，严格来讲这句话是没错的：例如，根据加州的 CCPA，对敏感个人身份信息（PII）就有非常明确的定义：

个人信息的一个特定子集，包括特定的政府身份标识（如社会安全号码）；账户登录名、金融账户、借记卡或信用卡号码及其所需的安全码、密码或用于访问账户的凭据；精确的地理位置；邮件、电子邮件和短信的内容；基因数据；用于识别消费者身份而处理的生物识别信息；有关消费者健康、性生活或性取向的信息；或有关种族或民族血统、宗教或哲学信仰、工会成员身份的信息。

GDPR 对“特殊类别的个人数据”也有类似的定义：

揭示种族或民族出身、政治观点、宗教或哲学信仰或工会成员身份的个人数据，以及处理的基因数据、用于唯一识别自然人的生物特征数据、有关健康的数据或有关自然人性生活或性取向的数据。

换句话说，以上这些全都不适用于我上面举例中提到的任何一起 ShinyHunters 泄露事件。

多年来，我参加过许多与涉事公司的会议，他们的目的显然是想规避披露义务。很显然，这些义务并非法律层面的，但我认为它们是社会道德层面的。当我们的数据泄露时，我们期望能收到通知，我们也认为理应要求相关组织通知我们。分歧就在于此。

最后我想指出，我在这里提到的每一家组织，实际上也是我载入到 HIBP 中的每一家组织，都是犯罪行为的受害者。我尤其同情那些成为猛烈勒索行动目标的组织，我知道对于那些留下来收拾残局的公司员工来说，这绝对是一场噩梦。然而……现实就是这样。显然，在数据泄露披露方面，他们的目标与我们的期望背道而驰，这就是为什么在处理了 1000 起泄露事件之后，HIBP 依然存在。