什么是数据泄露？它是如何发生的？

什么是数据泄露？

数据泄露是指个人信息被未经授权的人员访问、披露或窃取的安全事件。泄露的信息可能包括：您的电子邮件和登录凭证等个人详细信息，或财务报告等公司数据。数据泄露也被称为数据泄漏、数据溢出、数据盗窃或信息披露。

网络犯罪分子通过出售窃取的数据获利，这些数据范围广泛，包括：用户名、密码到银行账号、受保护的健康信息、生物识别数据等。对企业而言，可能是客户数据或商业机密。所有这些都会让个人或公司面临财务损失、身份盗窃、监管罚款和声誉损害的风险。

人们常常混淆"数据泄露"与"网络攻击"这两个术语。但并非所有网络攻击都是数据泄露。只有未经授权访问数据的安全事件才算是数据泄露。

例如，使网站下线的分布式拒绝服务（DDoS）攻击具有破坏性但不算数据泄露。锁定信息并要求赎金的勒索软件攻击则属于数据泄露。即使没有黑客参与，有人偷走装有未加密敏感个人数据的笔记本电脑或 U 盘也属于数据泄露。

数据泄露的成本

数据泄露影响各种规模的企业，费用取决于暴露的数据记录数量以及公司响应的速度。根据 IBM 的《2025 年数据泄露成本报告》，全球数据泄露的平均成本为 444 万美元，虽然相比去年的 488 万美元下降了 9%，但成本下降主要归功于运用人工智能技术的安全工具实现了更快的威胁遏制，然而网络犯罪分子也在快速适应新技术环境。如今已有近 16% 的数据泄露案例中，攻击者采用了人工智能手段（例如利用深度伪造技术来创造更精准的网络钓鱼攻击）为个人和企业带来了新的挑战。

某些地区受到的打击比其他地区更严重。相比去年的 936 万美元，美国经历一次典型数据泄露的成本如今创下 1,022 万美元新高。数据越敏感或受监管程度越高，风险越大，账单也越高。

医疗数据泄露相比去年下降了 235 万美元，平均每次事件成本达 742 万美元。金融、保险和公共行业组织紧随其后。在这些领域，法律处罚和监管罚款很容易使损失翻倍（来源：IBM 数据泄露成本报告，2025 年）。

所有这些资金去了哪里？大部分用于诉讼、身份保护服务和与数据丢失相关的客户支持。其余部分用于取证和系统修复等技术工作，以及通知监管机构和受影响个人的成本。

5 个值得关注的数据泄露事件

这些高调事件影响了数百万人，使公司因错误原因而广受关注：

1. SingHealth（2018 年）

这是新加坡史上最大规模的医疗数据网络攻击事件，约 150 万名曾在新加坡保健服务集团旗下医院或诊所就诊的病患个人资料遭到窃取，占新加坡总人口的近四分之一。

黑客获取了这些患者的基本个人信息，包括身份证号码等敏感数据。约 16 万人的门诊配药记录被外泄，而新加坡前任总理李显龙的医疗记录也被黑客特别锁定为攻击目标。

2. Latitude Financial（2023 年）

这家澳大利亚贷款机构的泄露事件影响了 1,400 万条记录，包括驾照号码、护照号码和财务详情。

3. Optus（2022）

澳大利亚最大的电信公司之一泄露了 1,000 万客户的个人数据，促成了新的国家数据安全改革。

4. T-Mobile（2023 年及更早）

仅在一次事件中，3,700 万客户账号通过 API 滥用被暴露。自 2018 年以来，T-Mobile 已遭遇多次数据泄露。

5. Equifax（2017）

史上最大的数据泄露事件之一。黑客获取了 1.43 亿美国人的个人数据，包括社会安全号码、信用卡和驾照号码。

如果您想深入了解这类泄露如何发生以及犯罪分子如何将数据变现，请前往 NordVPN 研究实验室。我们涵盖新兴威胁、元数据监控、暗网市场以及持续导致泄露的被忽视漏洞。

为何会发生数据泄露？

在当今社会，数据极具价值。个人信息、登录凭证、财务记录、商业机密——所有这些都可以被出售、泄露或用作筹码。任何有价值的东西，总会有人想窃取。

许多呈报上来的数据泄露并不涉及高科技攻击。大多数时候，它们会发生是因为更普通的原因：人为错误。配置错误的服务器、弱密码或点击错误链接——这些仍然是数据被泄露的主要原因。

数据泄露是如何发生的？

首先，让我们快速解答一个常见问题：什么是网络攻击？它是任何蓄意侵入系统、干扰系统或窃取系统信息的尝试。数据泄露通常是成功网络攻击的结果，同样也经常是人为错误和安全协议薄弱的结果。一些最常见的泄露方法包括：

恶意软件

• 勒索软件：这种类型的恶意软件锁定公司文件并要求付款解锁。它可能导致整个业务停摆，成本远远超过赎金本身。
• 间谍软件和键盘记录器：间谍软件和键盘记录器能秘密跟踪您的活动，记录按键并在您不知情的情况下窃取登录凭证。
• 木马和蠕虫：伪装成合法软件，安装后门或跨网络传播以传递恶意负载或为其他攻击者打开访问通道。
• 恶意下载：点击虚假软件更新或被篡改的链接可能会立即安装恶意文件。

网络钓鱼

• 欺骗性消息：网络犯罪分子伪装成银行、同事或您使用的服务。利用社会工程学技术，他们发送电子邮件、短信或私信，旨在让您先点击后思考。
• 虚假网站和表单：这些网站看起来与真实网站完全一样，但它们旨在您登录的那一刻捕获您的凭证。

人为错误

• 配置错误：有人忘记对数据库进行密码保护或完全开放云文件夹。这种情况比您想象的更频繁，是造成泄露的主要原因之一。
• 意外披露：可能涉及向错误的人发送敏感数据、将文件上传到错误位置或使用不安全的通信渠道。
• 网络钓鱼点击：处于压力下的员工不经思考就点击可疑链接。这不仅仅是因为他们粗心大意——犯罪分子精心设计了这些信息，以出其不意地让受害者上钩。

弱密码

• 重复使用或可预测的凭证：到处使用相同的密码或使用易于猜测的密码，如"qwerty"，使攻击者能够更容易地入侵设备。
• 不安全的存储：将密码保存在备忘录应用、电子表格或浏览器中而不进行加密，会使其暴露在外。

内部作案

• 恶意内部人员：员工或承包商滥用其访问权限，为牟利、报复或作为筹码而滥用数据。这种威胁在医疗保健等行业尤其危险，在这些行业中，电子健康记录（EHR）的访问权限可能被滥用以出售敏感医疗信息或实施欺诈。
• 权限滥用：权限过高的用户访问他们不应访问的数据（无论是有意还是无意）。

技术故障

• 未修补的软件：未能安装安全更新的设备让攻击者有机会利用已知漏洞。
• 薄弱的基础设施：过时的防火墙、缺少加密、配置不当的 API，或缺乏入侵检测系统使系统更容易被突破。

9 个提示防止数据泄露

坦白说，您无法阻止 100% 的数据泄露。但通过遵循以下 9 个提示，您可以大幅提升数据泄露的难度：

1. 销毁文件

养成销毁带有您身份信息的信件、账单、文件或任何物品的习惯。身份窃贼不需要太多信息就能造成严重损害。

2. 使用安全网站

在线输入任何个人信息前，请检查 URL。它应以"https"开头——"s"表示加密。如果少了这点，请立即离开该网站。

3. 创建强密码

跳过宠物名字和生日。使用大小写字母、数字和符号的组合。一个好的密码管理器将完成繁重的工作并保持信息安全。

4. 在每个账号上使用不同密码

在每个账号上使用相同密码无异于给攻击者送礼。如果一个账号遭到入侵，他们就能解锁一切。为了保护您的账号，请为每个账号使用强大且唯一的密码，并确保您使用密码加密，以进行安全存储。此外，您应尽可能启用多因素身份验证或双因素验证，在密码之外增加额外保护。

5. 更新您的电脑和移动设备

补丁修复漏洞。尽可能自动更新设置，特别是操作系统、网络浏览器和防病毒工具。

6. 避免使用公共 USB 充电站

您知道普通的公共 USB 充电端口可能携带恶意软件吗？现在您知道了。使用公共 USB 端口传播恶意软件和窃取数据被称为充电陷阱（juice jacking）。为了避免这种情况，请避免使用机场等场所的公共 USB 端口，或购买 USB 数据阻止器，将设备连接到端口，以保护它免受任何恶意代码侵害。

7. 不要忽视您的对账单

不要等待欺诈警报。定期检查您的对账单，即使是小额费用也应该小心核对。黑客通常在进行大额消费前先用被盗的信用卡进行小额测试。及早发现这些 1 美元的消费可能会为您节省数千美元。

8. 定期检查您的信用报告

您的信用报告将显示是否有人以您的名义开设了任何账号或贷款。即使当下没有发现可疑活动，也应该定期检查。唯有这么做，您才能够及早发现身份盗窃并加以阻止。

9. 避免数据囤积

拥有的数据越多，您可能损失的数据就越多。避免积累大量数字资产，定期审核您的数据，并确保它被安全存储。谣避免数据泄露，就应该摒弃像数据囤积这样的习惯。

如果我遇到数据泄露该怎么办？

就算您已准备周全，也无法完全预防意料之外的泄露事件。如果这种情况发生在您身上，请按照以下步骤重新掌控局面：

第 1 步：确认泄露

不要点击公司告诉您发生泄露的电子邮件——诈骗分子可能撰写这些邮件以窃取您的个人信息。相反，请直接致电公司，或等待公司在其官方网站上发布关于泄露的信息。

就通知邮件而言，如果您是企业，根据数据隐私政策，您有义务通知受影响的个人和监管机构。例如，在欧洲，根据欧盟的《通用数据保护条例》（GDPR），您必须在发现个人数据泄露后的 72 小时内报告。在美国，所有 50 个州都有自己的数据泄露通知法，未能迅速行动可能意味着罚款、诉讼和持久损害。

第 2 步：确定泄露类型

如果您的敏感信息已被暴露，根据信息类型，一些快速修复可以帮助您重新掌控局面。

如果您的社会保障号码被泄露，请立即向 IRS 报告。社会保障号码（SSN）比信用卡或银行信息更难更换。您的 SSN 可用于冒用您的身份、提交虚假退税、租赁或购买房产，以及以您的名义实施各种犯罪。

如果您的密码被暴露，立即更改并加强您的密码和安全问题。选择超过七个字符的密码，使其无意义，并使用密码管理器，这样您就无需死记硬背任何密码。

如果您有账号的公司发生泄露，立即更改您的用户名和密码，并仔细检查您是否在其他地方使用了相同的凭证。对于银行、医疗保健或学校记录等关键服务，请使用单独的电子邮件和唯一密码。一个被破坏的登录不应该暴露您的一切。

第 3 步：接受提供的保护

如果公司提供免费的信用监控或身份盗窃保护服务，请接受这些服务。它们可以在您发现之前捕获可疑活动，并且如果您的数据在其监管下被泄露，它应该承担这笔费用。