数据泄露是指未经授权方访问敏感数据或机密信息的任何安全事件,包括个人数据(社会保障编号、银行账号、医疗保健数据)或企业数据(客户数据记录、知识产权、财务信息)。
术语“数据泄露”和“泄露”通常与“网络攻击”互换使用。然而,并非所有的网络攻击都是数据泄露。数据泄露仅包括某人未经授权访问数据的安全漏洞。
例如,导致网站瘫痪的分布式拒绝服务 (DDoS) 攻击并不属于数据泄露。如果勒索软件攻击锁定了公司的客户数据,并威胁称除非公司支付赎金,否则将泄露被盗数据,那么这就是数据泄露。硬盘驱动器、USB 闪存驱动器甚至包含敏感信息的纸质文件的物理盗窃也是一种数据泄露。
根据 IBM 的 2025 年数据泄露成本 报告,全球数据泄露的平均成本为 444 万美元。虽然各种规模和类型的组织都容易受到数据泄露的影响,但这些数据泄露的严重程度和修复成本可能会有所不同。
例如,美国数据泄露平均成本达 1022 万美元,约 4 倍于印度(251 万美元)。
对于医疗、金融和公共部门等高度监管行业的组织而言,数据泄露的后果往往尤为严重——高额罚款与处罚会进一步叠加成本。例如,IBM 报告显示, 2025 年医疗行业数据泄露的平均成本达 742 万美元, 连续 14 年位居各行业数据泄露损失榜首。
数据泄露成本来自多种因素,IBM 的报告指出了四个关键因素:业务损失、检测和升级、泄露后响应和通知。
数据泄露造成的业务、收入和客户损失平均使组织损失 138 万美元。检测和升级数据泄露行为的成本甚至更高,为 147 万美元。数据泄露后的支出(包括罚款、和解费、律师费、为受影响客户提供免费信用监控以及类似支出)使数据泄露事件受害者平均损失 120 万美元。
通知成本包括向客户、监管机构和其他第三方报告数据泄露行为的成本最低为 390,000 美元。然而,报告要求仍然可能既繁琐又耗时。
美国《2022 年关键基础设施网络事件报告法案》(CIRCIA) 要求国家安全、金融、和其他指定行业的组织在 72 小时内向美国国土安全部报告影响个人数据或业务运营的网络安全事件。
如果受保护的健康信息遭到数据泄露,须遵守《健康保险流通和责任法案》(HIPPA) 的美国组织必须通知美国卫生与公众服务部、受影响的个人以及(在某些情况下)媒体。
美国的 50 个州也都有自己的数据泄露通知法。
《通用数据保护条例》(GDPR) 要求与欧盟公民开展业务的公司在 72 小时内将数据泄露行为通知当局。
数据泄露由以下原因引起:
无心错误,例如,员工将机密信息通过电子邮件发送给错误的人。
恶意内部人员包括两类:意图损害公司 或破坏声誉的愤怒/被裁员工,以及企图利用公司数据牟利的贪婪雇员。
黑客,蓄意实施网络犯罪以窃取数据的恶意外部人员。黑客可以单独行动,也可以成为有组织团伙的一部分。
经济利益是大多数恶意数据泄露的主要动机。黑客窃取信用卡号、银行账户或其他财务信息,以直接窃取个人和公司的资金。
一些攻击者会窃取个人身份信息 (PII),例如社会保障编号和电话号码,用于身份盗窃、贷款和以受害者的名义开设信用卡。网络罪犯还可能在暗网上出售被盗的 PII 和帐户信息,通过出售银行登录凭据,他们从中可以获取高达 500 美元。
数据泄露也可能是更大规模攻击的第一阶段。例如,黑客可能会窃取公司高管的电子邮件帐户密码,并利用这些帐户进行商业电子邮件诈骗。
除了个人致富之外,数据泄露可能还有其他目的。不道德的组织可能会窃取竞争对手的商业机密,民族国家行为者可能会破坏政府系统,窃取有关敏感政治交易、军事行动或国家基础设施的信息。
恶意行为者可以使用各种攻击媒介或方法来进行数据泄露。一些最常见的媒介或方法包括:
据《2025 年数据泄露成本》报告,凭证失窃位列五大初始攻击路径之一,导致 10% 的数据泄露事件,识别周期长达 186 天。
黑客可以使用暴力攻击破解密码、从暗网购买被盗凭据或通过社会工程攻击诱骗员工透露密码来窃取凭据。
勒索软件是一种恶意软件,它会劫持数据直到受害者支付赎金,根据 2025 年数据泄露成本报告,勒索软件导致的平均成本为 508 万美元。此类数据泄露事件往往代价高昂,因为这个数字不包括赎金,而赎金可能高达数千万美元。
另一种直接破坏目标系统的方法是 SQL 注入,它利用不安全网站的结构化查询语言 (SQL) 数据库的漏洞。
黑客在面向用户的字段中输入恶意代码,例如搜索栏和登录窗口。此代码会导致数据库泄露私人数据,例如信用卡卡号或客户的个人详细信息。
威胁参与者可以利用员工的错误来获取机密信息。根据 2025 年数据泄露成本报告,人为错误占数据泄露的 26%,而 IT 故障占 23%。
例如,配置错误或过时的系统可能会让未经授权的各方访问他们不应该访问的数据。员工还可能通过将数据存储在不安全的位置、将硬盘驱动器上保存有敏感信息的设备放错位置,或者错误地授予网络用户过多的数据访问特权,从而暴露数据。网络罪犯还可能利用 IT 故障(例如临时系统中断)潜入敏感数据库。
威胁参与者可能会闯入公司办公室,窃取员工的设备(如笔记本电脑和手机)、纸质文档和包含敏感数据的物理硬盘。攻击者还可能在物理信用卡和借记卡读卡器上放置窃听设备,以收集支付卡信息。
2007 年,零售商 TJ Maxx 和 Marshalls 的母公司 TJX Corporation 发生了数据泄露事件,是当时美国历史上最大、代价最高的消费者数据泄露事件。约 9400 万客户隐私受损,企业经济损失超 2.56 亿美元。
黑客通过在两家商店的无线网络上安装流量嗅探器,获取了这些数据。这些嗅探器使黑客能够捕捉到从商店收银机传输到后端系统的信息。
2013 年,雅虎遭受了可能是历史上最大的数据泄露。黑客利用公司 Cookie 系统中的漏洞获取了雅虎全部 30 亿用户的姓名、出生日期、电子邮件地址和密码。
2016 年,当 Verizon 就收购该公司进行洽谈时,整个数据泄露事件才被曝光。因此,Verizon 将其收购要约减少了 3.5 亿美元。
2017 年,黑客入侵了信用报告机构 Equifax,并获取了超过 1.43 亿美国人的个人数据。
黑客利用 Equifax 网站中未修补的漏洞获取网络访问权限,然后横向转移到其他服务器以查找社会保障编号、驾照号码和信用卡卡号。这次攻击使 Equifax 损失了 14 亿美元,包括和解费、罚款以及与修复漏洞相关的其他费用。
2020 年,俄罗斯威胁参与者通过黑客攻击软件供应商 SolarWinds 实施了供应链攻击。黑客利用该组织的网络监控平台 Orion 秘密向 SolarWinds 的客户分发恶意软件。
俄罗斯间谍获取了使用 SolarWinds 服务的多个美国政府机构(包括财政部、司法部和国务院)的机密信息。
2021 年,黑客使用勒索软件感染了 Colonial Pipeline 的系统,迫使该公司暂时关闭供应美国东海岸 45% 燃料的管道。
黑客利用在暗网上找到的一名员工的密码入侵了网络。Colonial Pipeline Company 以加密货币支付了 440 万美元赎金,但联邦执法部门仅追回了其中约 230 万美元。
2023 年秋季,黑客窃取了 690 万 23andMe 用户的数据。这次数据泄露事件之所以引人注目,有几个原因。首先,由于 23andMe 进行基因测试,攻击者获得了一些非常规且高度个人化的信息,包括家谱和 DNA 数据。
其次,黑客通过一种称为“撞库”的技术破坏了用户帐户。在这种攻击中,黑客使用以前从其他来源泄露的凭据侵入用户在不同平台上的不相关帐户。这些攻击之所以能成功,是因为许多人在各个网站重复使用相同的用户名和密码组合。
据《2025 年 数据泄露成本》 报告,全行业识别与遏制主动攻击的平均周期达 241 天。部署正确的安全解决方案可以帮助组织更快地检测和响应这些漏洞。
常规风险管理措施(如定期漏洞评估、定时备份、及时补丁修复及合规数据库配置)能预防部分泄露事件,并减轻已发生事件的冲击。
然而,当今许多组织可以实施更先进的控制和最佳实践,以阻止更多数据泄露事件并显著减轻其造成的损害。
企业可以通过正式事件响应计划减轻泄露损害,该计划涵盖网络威胁的检测、遏制与清除。据《2025 年数据泄露成本》报告,35% 受访企业将事件响应规划与测试列为年度第三大安全投资重点。
与未将人工智能 (AI) 和自动化广泛集成到安全运营中的组织相比,实现了此类集成的组织解决数据泄露事件的速度快 80 天(数据源自 2025 年数据泄露成本报告)。该报告还发现,安全 AI 和自动化可将平均违规成本降低 190 万美元,即节省 34% 以上(与不使用安全 AI 和自动化的组织相比)。
许多数据安全、数据丢失预防以及身份和访问管理工具现在都融合了 AI 和自动化。
由于社会工程和网络钓鱼攻击是造成数据泄露的主要原因,因此培训员工识别和避免这些攻击可以降低公司数据泄露的风险。此外,培训员工正确处理数据有助于防止意外数据泄露和数据违规。
密码管理器、双因素认证 (2FA)、多因素认证 (MFA)、单点登录 (SSO) 等身份与访问管理 (IAM) 工具能有效防护员工账户、VPN 及凭证免遭窃取。
组织还可以实施基于角色的访问控制和最小特权原则,以限制员工仅访问其角色所需的数据。这些政策有助于阻止内部威胁和劫持合法帐户的黑客。