近日，人工智能應用安全公司ImmuniWeb發布了一份今年暗網泄漏數據來源的研究，發現暗網上泄漏的數據，97%出自網絡安全機構，這一年平均下來，每個網絡安全公司都會泄漏4000多個被盜憑證和其他敏感數據。

研究結果如下：

1. 暗網上泄漏的數據，97%出自網絡安全機構;

2. 今年共發現631512個經確認的安全事件，超過25%（大約160529個）屬于高或嚴重級別安全風險，其中包含高度敏感的信息，例如明文憑證或PII，包括財務或類似數據。因此，平均每個網絡安全公司有1586份被竊取的憑證和其他敏感數據出現在暗網。在ImmuniWeb的研究中還發現了超過100萬個未經證實的泄漏事件（1027395個），這里面只有159462個被認為是低風險的;

3. 29%的被盜密碼是弱密碼，研究顯示，29%的被盜密碼很弱，只有不到8個字符，或者沒有大寫字母、數字或其他特殊字符，都屬于常見的易攻擊密碼。162家公司的約40名員工在缺乏安全密碼保護的情況下重復使用相同的密碼。

4. ***和成人交友網站上使用了專業電子郵件，第三方違規行為占有很大比例，ImmuniWeb的研究發現，5121份證書來源于被黑客入侵的***或成人交友網站。

5. 63%的網絡安全公司的網站不符合PCI DSS要求，這意味著它們使用易受攻擊或過時的軟件（包括JS庫和框架）或在阻止模式下沒有Web應用程序防火墻（WAF）。

6. 48%的網絡安全公司的網站不符合GDPR要求，缺乏明顯的隱私政策，當cookie包含PII或可追蹤標識符時，缺少cookie免責聲明。

7. 有91家公司存在可利用的網站安全漏洞，其中26%仍未修補。

這項研究是使用ImmuniWeb的免費在線域安全測試來進行的，該測試結合了專有的OSINT技術和機器學習，對暗網進行分類。398家領先的網絡安全公司接受了此次測試。2020年6月4日，人工智能應用安全公司ImmuniWeb發布了一個新的免費暗網監測工具，用于監視和衡量組織在暗網（Dark Web）上的泄漏程度。

美國的網絡安全公司遭受的風險最高最嚴重，其次是英國和加拿大，再次是愛爾蘭，日本，德國，以色列，捷克共和國，俄羅斯和斯洛伐克。

在接受測試的398家網絡安全公司中，只有瑞士、葡萄牙和意大利的公司沒有遭受任何高風險或重大風險事件，而比利時，葡萄牙和法國的公司雖有相關的事件發生，但經過驗證的事件數量卻最少。

ImmuniWeb首席執行官兼創始人Ilia Kolochenko對這項研究發表了評論：

如今，網絡犯罪分子通過針對可信賴的第三方而不是直接攻擊個體，努力實現利潤最大化。不過這也分情況，例如，大型金融機構通常擁有強大的玩過安全保護技術和法律保證，可以及時發現并調查大多數攻擊者。不過律師事務所和IT公司，通常缺乏對快速增長的針對性攻擊和APT做出反應所需的內部專業知識和預算。

對于當今的任何網絡安全和規劃來說，數據、IT和數字資產的整體可見性和清單都是必不可少的。機器學習和AI等現代技術可以極大地簡化和加速從異常事件到攻擊的大量繁重任務。
責編AJX