Per quanto riguarda i privati, i dati rubati tramite esfiltrazione possono comportare conseguenze gravi come il furto di identità, le frodi su carte di credito o bancarie, ricatti o estorsioni. Per quanto riguarda le organizzazioni, in particolare quelle che operano in settori altamente regolamentati come quello sanitario e finanziario, le conseguenze sono un po' più gravi. Le conseguenze riportate di seguito sono esempi di quello che può accadere:

Interruzioni delle operazioni dovute alla perdita di dati aziendali critici



Perdita della fiducia dei clienti o di opportunità commerciali



Segreti commerciali compromessi, come sviluppi/invenzioni di prodotti, codici applicativi univoci o processi di produzione



Multe, commissioni e altre sanzioni normative rigorose per le organizzazioni obbligate per legge ad aderire a rigorosi protocolli e precauzioni in materia di protezione dei dati e sulla privacy quando trattano i dati sensibili dei clienti



Attacchi successivi resi possibili dai dati esfiltrati

Report o studi sui costi attribuibili direttamente all'esfiltrazione dei dati sono difficili da trovare, ma gli incidenti di esfiltrazione di dati stanno aumentando rapidamente. Ad oggi, la maggior parte degli attacchi ransomware sono attacchi a doppia estorsione: il criminale informatico cripta i dati della vittima e li esfiltra. Successivamente, il criminale informatico chiede un riscatto per sbloccare i dati (in modo che la vittima possa riprendere le operazioni commerciali) per poi chiedere un riscatto per impedire la vendita o il rilascio dei dati a terze parti.

Nel 2020 i criminali informatici hanno sottratto centinaia di milioni di record di clienti solo da Microsoft e Facebook. Nel 2022 il gruppo di hacker Lapsus ha sottratto un terabyte di dati sensibili dal chipmaker Nvidia e ha divulgato il codice sorgente per la tecnologia di deep learning dell'azienda. Se agli hacker interessano i soldi, il denaro derivante dalla sottrazione dei dati deve essere molto e in aumento.