行业新闻与博客

根据 ImmuniWeb 的一项新研究，几乎所有网络安全公司都在线暴露了包括 PII 和密码在内的敏感数据。

该安全供应商选择了 398 个世界顶级安全供应商，然后搜索了黑，深和深的网站，包括黑客论坛和市场，WhatsApp 组，公共代码存储库，社交网络和粘贴网站。

它声称已发现经过验证的敏感数据超过 631,000 次，其中这些“事件”中有 17％估计有重大风险。这意味着它们包括使用纯文本密码的登录名，或者包括最近和 / 或唯一的数据泄漏（例如 PII 和财务记录）。

总体而言，研究表明，PII 和公司数据占所有事件的一半（50％），其中凭据占 30％，备份和转储占 15％。

同样令人担忧的是，发现的密码中有 29％是“弱”的，即，密码的字符数少于 8 个，没有大写字母，没有数字和特殊字符。在研究的 41％的公司中，发现员工已在不同的违规系统上重复使用了密码，这进一步使他们的组织面临违规风险。

该报告还显示，超过 5100 份凭据被盗用是由于违反了成人内容网站，这意味着员工已使用工作电子邮件在此类网站上进行了注册。

总体而言，报告中研究的网络安全公司中有 97％被发现具有敏感数据在线暴露，尽管某些数据可以追溯到 2012年，并且大多数事件被分类为低（25％）或中（49％）风险。

低风险是指“组织，其 IT 资产或员工在数据泄漏，样本或转储中没有附带敏感或机密信息的情况”，而中度风险可能包括加密密码或“中等”敏感数据（例如源代码或内部文档。

ImmuniWeb 首席执行官 Ilia Kolochenko 警告说，像安全供应商这样的第三方越来越成为攻击者的目标。

他补充说：“到 2020年，人们不必花费高昂的零日费用，而是找到几个不受保护的第三方，这些第三方可以特权使用'皇冠珠宝'，并迅速破解最薄弱的环节。”

本文由机器译制