Lab1 发布《2025年数据泄露分析报告》

摘要：数据既是最大资产也是最大负债，数据泄露的影响并不是泄露规模而是泄露内容。

当今数字经济时代，数据已成为我们最宝贵的资产和最严重的负债。威胁行为者正系统性地研究我们，探查业务的每个角落以寻找可利用的弱点。

他们爬取暗网的泄露数据集，不仅为获取客户或企业个人身份信息（PII）等高价值数据资产，更为挖掘被忽视的碎片：内部文件、凭证、供应商通讯记录等。这些碎片成为社会工程、深度伪造生成和横向移动的工具。如今，单个泄露的访问密钥、项目文档或HR文件即可引发连锁攻击与欺诈。

因此，我们不能再将数据泄漏视为单纯的泄露，它已成为能以惊人频率重复使用的武器。泄露规模并不是影响的最佳指标，真正的危害在于泄露的内容。500份文件的泄露看似轻微，直到发现其中包含加密密钥、客户账户数据、财富报表或敏感商业合同时，危害才显现。

Lab1最新发布的《2025年数据泄露分析报告》通过对1297起泄露事件中超过1.41亿份文件进行内容级分析，对公开文件的结构、敏感性和功能进行了分类，创建了供业务、风险和安全领导者参考的年度基准。以下是该报告核心观点的部分摘录。

Lab 1是一个大规模应用人工智能和数据科学来识别和分析数据泄露风险的平台。

一．数据泄露分析

1. 客户与企业PII成主要泄露目标

个人和公司数据，特别是包含个人身份信息（PII）、工资单和简历的人力资源文件，在82%的数据泄露事件中占据了显著地位。

此外，67%的事件涉及与客户服务、支持或沟通相关的文件和记录，其中电子邮件泄露尤为突出，占比达86%。

这些包含大量客户和企业PII的数据泄露不仅带来了极高的合规风险，还为网络钓鱼和社会工程活动提供了支持，并且这一问题的紧迫性因深度生成式人工智能欺诈的出现而加剧。

2.财务数据泄露加剧双重欺诈风险

93%的泄露事件涉及财务文件，这类文件占所有泄露文件的41%。财务文件通常包含银行详细信息、税务标识符或发票信息，是暗网市场上欺诈、勒索和转售的主要目标。其中银行对账单（占49%）和国际银行账号（IBAN）（占36%），是可能促进身份欺诈、支付重定向和授权欺诈的常见项目。

三分之二（66%）的事件涉及与客户服务交互和支持相关的通信和记录，包括客户详细信息，如联系方式、地址等。泄露包含个人数据的客户服务记录不仅可能导致有针对性的网络钓鱼、身份盗窃，还可能因为违反相关法律法规而面临巨额罚款、法律诉讼以及客户信任的降低。

3.泄露的代码、凭证和密钥具有高危性

报告指出，非结构化文件泄露正持续扩大网络攻击面，泄露的代码、凭证和密钥形成了高危害性的数据泄露途径。

在所有安全事件中，泄露的代码文件占比高达87%，占所有泄露文件的17%。代码泄露通过破坏软件供应链的完整性、可见性和可信度，引发软件物料清单（SBOM）漏洞，突显当今数字生态系统中更深层的结构风险。其中，Xml（34.3%）和Json（32.4%）文件格式构成了泄露代码相关文件的主体，它们最容易泄露包含敏感配置、凭证或客户数据的信息。

同时，云和基础设施的配置问题分别出现在20%和23%的违规事件中。值得注意的是，18%的安全事件涉及泄露的加密密钥，如SSH和RSA密钥，这些密钥可被用于绕过身份验证、侵入安全系统。特别是未加密的RSA密钥，构成最严重威胁，极大增加了攻击者横向移动和凭证伪造的风险。

系统日志存在于79.1%的泄露事件中，占所有被破坏文件的4.8%。攻击者可以借此绘制系统地图，并检测易受攻击的端点或配置错误的服务，进而使用这些端点或服务来策划有针对性的攻击，并隐藏其活动踪迹。

4. 数据泄露中最常识别的10大文件类别

5. 数据泄露中最常识别的10大文件类型

二．泄露爆炸半径分析

在一次数据泄露事件中波及多个组织，通常称为“爆炸半径”，它会显著放大系统性风险、加重监管义务并加剧声誉损害。在分析的1297起事件中，受影响组织数量的中位值高达482个，显示出巨大的爆炸半径。其中影响范围最广的事件波及超过173万个组织，而影响最小的事件则仅涉及单个实体。其中金融服务业平均爆炸半径为4,468家机构

三．理解数据泄露分析的结构

了解数据泄露的具体内容和结构，对有效的风险管理至关重要。泄露的严重程度不能仅仅通过被泄露的文件或记录的数量来评估，还必须考虑泄露内容的类型、敏感性和可利用性，进而考虑其影响以及如何将其武器化。因此要评估重要性，必须仔细查看每一份文件。

凭证泄露与基础设施

.rdp、.ovpn、.pem及SSH/RSA密钥泄露有助于实现即时系统访问、横向移动和持久后门，在多租户环境中还可升级至供应链入侵。

合成身份与AI滥用

利用人力资源文件、内部电子邮件和包含个人身份信息和行为数据的培训材料来训练深度伪造和语音克隆模型，从而实现冒充、网络钓鱼和合成身份欺诈。

云和基础设施攻击面

例如泄露的AWS S3路径和虚拟主机数据允许攻击者重建云架构，并自动发现不安全的存储桶或开发/测试环境，为恶意软件部署或数据窃取提供理想跳板。而泄露的IP地址提供了用于创建进一步攻击的信息，例如拒绝服务、VPN劫持或针对性终端攻击等。

财务数据泄露

银行账号、发票和工资单常被用于电汇欺诈、商业电子邮件入侵等活动。即使是最小的风险敞口（例如0.01%）也会带来巨大的财务风险。

大规模钓鱼与社会工程

每起数据泄露事件中平均54个邮箱的暴露率使得网络钓鱼活动具有高度针对性，尤其当与泄露的内部组织架构图、人力资源文件或客户数据交叉参照时。

软件/运维逆向工程

利用泄露的源代码、配置文件和日志可实现对专有系统进行逆向工程，而如果发现硬编码的机密，还可实现0-Day攻击。

声誉与法律勒索

如果包含合同、法律文件、内部通讯和审计文件发生泄露，可能发生"双重勒索"，攻击者可能威胁向媒体或监管机构泄露破坏性数据。

国家行为体或间谍用例

如果涉及军事材料、合同、法律文件和系统日志发生泄露，哪怕数量很少也很有可能包含机密或战略数据，从而实现地缘政治杠杆、内部人员锁定或间谍活动。