【调查】：97%的网络安全公司有数据暴露于暗网暗网

97%的主流网络安全公司在暗网上存在数据泄露或其他安全事件暴露，每家平均有超过4000份被盗凭证和敏感数据暴露，其中每家平均暴露1586份高度敏感数据。 以下是具体调查发现：高风险安全事件占比显著：在发现的631,512起已确认安全事件中，超过25%（160,529起）属于高风险或严重风险等级类别。这些事件包含明文凭证、个人可识别信息（PII）、金融数据等高度敏感信息。此外，研究还发现超过100万起未确认事件，其中仅159,462起被估测为低风险事件。图：暗网数据暴露事件风险等级分类（高风险占比25%）弱密码与密码重复使用问题突出：29%的被盗密码强度很弱，表现为长度少于8个字符，或缺少大写字母、数字及特殊字符；162家公司的约40名员工在不同数据泄露事件中重复使用相同密码，显著增加了密码重用攻击的风险。工作邮箱滥用现象严重：5,121份被盗凭证来源于黑色情或成人约会网站，表明第三方数据泄露是此类安全事件的重要来源，员工工作邮箱在这些非工作场景中的使用直接导致企业数据暴露风险上升。网站合规性缺陷普遍存在：PCI DSS合规性不足：63%的网络安全公司网站不符合支付卡行业数据安全标准（PCI DSS），主要问题包括使用脆弱或过时的软件（如JS库和框架），以及未将Web应用防火墙（WAF）置于阻止模式。GDPR合规性不足：48%的网络安全公司网站不符合欧盟《通用数据保护条例》（GDPR），原因涉及脆弱软件、缺乏明显隐私政策，或在cookie包含PII或可跟踪标识符时缺少免责声明。可利用漏洞修复滞后：91家网络安全公司存在可被利用的网站安全漏洞，其中26%的漏洞尚未修复。该数据援引自Open Bug Bounty漏洞奖励项目的公开信息，反映部分企业对已知漏洞的修复效率较低。地域性风险差异显著：高风险事件集中地：美国网络安全公司遭受的高风险事件最为严重，其次为英国、加拿大；爱尔兰、日本、德国、以色列、捷克共和国、俄罗斯和斯洛伐克的公司也面临较高风险。低风险事件集中地：瑞士、葡萄牙和意大利的公司在测试中未遭受任何高风险或重大风险事件；比利时、葡萄牙和法国公司遭受的已确认事件数量最少。研究方法与背景：该研究由ImmuniWeb通过免费在线域名安全测试（Domain Security Test）开展，结合机器学习增强的专有开源情报（OSINT）技术，覆盖来自26个国家的398家主流网络安全公司（以美欧企业为主）。ImmuniWeb首席执行官Ilia Kolochenko指出，网络罪犯正通过攻击可信第三方（如律师事务所、IT公司）绕过最终受害者的强防御，利用第三方防护薄弱环节实现“低成本高收益”攻击。他强调，企业需建立全面的资产清单，结合机器学习技术简化异常检测任务，同时持续监控深网、暗网及表层网络资源，以应对日益复杂的攻击环境。完整研究链接：State of Cybersecurity Dark Web Exposure