跨國應用(yòng)安全公司ImmuniWeb發布最新調查研究報(bào)告，探尋全球網絡安全行業本年度暗網暴露情況。報(bào)告披露，97%的主流網絡安全公司在暗網上(shàng)暴露有數據洩露或其他(tā)安全事(shì)件，每家安全公司平均有超過4000份被盜憑證和(hé)其他(tā)敏感數據暴露于暗網。

   正如ImmuniWeb的研究所示，即使是網絡安全行業本身也(yě)無法幸免于數據洩露。

   關于全球主流網絡安全公司的安網暴露情況，此項研究的主要發現(xiàn)有：

   97%的公司在暗網上(shàng)暴露有數據洩露和(hé)其他(tā)安全事(shì)件。

    發現(xiàn)的631,512起已确認安全事(shì)件中，超過25%（160,529）歸屬高(gāo)風(fēng)險等級類别或嚴重風(fēng)險等級類别，包含明(míng)文(wén)憑證或個人可識别信息（PII）等高(gāo)度敏感的信息，包括金(jīn)融或類似數據。由此，每家網絡安全公司平均暴露1586份被盜憑據和(hé)其他(tā)敏感數據。ImmuniWeb的研究中還發現(xiàn)了(le)超過100萬起（1,027,395）未确認事(shì)件，估測僅159,462起爲低(dī)風(fēng)險事(shì)件。

   29%的被盜密碼是弱密碼，162家公司的員工(gōng)重複使用(yòng)密碼：研究發現(xiàn)，29%的被盜密碼強度很(hěn)弱，長度少于8個字符，或是缺少大(dà)寫字母、數字或其他(tā)特殊字符；而162家公司的大(dà)約40名員工(gōng)，在不同數據洩露事(shì)件中重複使用(yòng)相同的密碼，增加了(le)網絡罪犯進行密碼重用(yòng)攻擊的風(fēng)險。

   工(gōng)作(zuò)電子郵件被用(yòng)于色情和(hé)成人約會(huì)網站(zhàn)：ImmuniWeb的研究發現(xiàn)，5,121份憑證盜自(zì)被黑色情或成人約會(huì)網站(zhàn)，表明(míng)第三方數據洩露占據此類安全事(shì)件的一大(dà)部分。

   63%的網絡安全公司網站(zhàn)不符合PCI DSS要求：意味着這(zhè)些(xiē)網站(zhàn)使用(yòng)脆弱或過時(shí)的軟件（包括JS庫和(hé)框架），或者未将Web應用(yòng)防火牆（WAF）置于阻止模式。

   48%網絡安全公司網站(zhàn)不符合GDPR要求：因爲存在脆弱軟件，缺乏明(míng)顯的隐私政策，或cookie包含PII或可跟蹤标識符時(shí)缺少免責聲明(míng)。

91家公司存在可利用(yòng)的網站(zhàn)安全漏洞，其中26%尚未修複：ImmuniWeb的這(zhè)項發現(xiàn)援引了(le)Open Bug Bounty漏洞獎勵項目中公開(kāi)可用(yòng)的數據。

    此項研究采用(yòng)ImmuniWeb的免費在線域名安全測試（Domain Security Test）進行，結合了(le)經機器學習增強的專有OSINT技術，旨在發現(xiàn)和(hé)分類暗網暴露。測試對(duì)象涵蓋來(lái)自(zì)26個國家的398家主流網絡安全公司（其中大(dà)多數是美(měi)國和(hé)歐洲的公司）。

   美(měi)國的網絡安全公司遭受了(le)最嚴重的高(gāo)風(fēng)險事(shì)件，其次是英國和(hé)加拿大(dà)，然後是愛爾蘭、日本、德國、以色列、捷克共和(hé)國、俄羅斯和(hé)斯洛伐克。

   在接受測試的398家網絡安全公司中，隻有瑞士、葡萄牙和(hé)意大(dà)利的公司沒有遭受任何高(gāo)風(fēng)險或重大(dà)風(fēng)險事(shì)件，而比利時(shí)、葡萄牙和(hé)法國公司遭受的已确認事(shì)件數量最少。