数据泄露本周带来了一些不同的事情：大规模泄露了260亿记录的消息，这是迄今为止有史以来最大的记录。所有漏洞之母（MOAB）的新闻发生在数据隐私周期间，这一事实凸显了在超级互联世界中保持私人数据隐私的重要性和困难。

　　MOAB活动的消息来自总部位于立陶宛的在线网络安全出版物Cybernews。在1月24日发布的一篇报道中，该出版物的副编辑Vilius Petkauskas描述了Cybernews如何与网络安全研究员兼SecurityDiscovery.com所有者Bob Dyachenko合作发现漏洞。

　　据报道，MOAB跨越了3800个文件夹，横跨12 TB，这些文件夹在互联网上不受保护。Petkauskas写道，这些数据似乎由之前泄露的记录组成，似乎没有任何新泄露的数据。其中包括来自数百万人的LinkedIn、Twitter、微博和腾讯等帐户的数据。

　　MOAB还为某种类型的违规行为设定了标准，称为多个违规汇编，或COMB。Petkauskas写道，研究人员发现了“数千个精心编译和重新索引的泄漏、漏洞和私人出售的数据库”。数据之前被披露的事实并没有降低其关键性。

　　Petkauskas援引研究人员的话说：“该数据集非常危险，因为威胁行为者可以利用汇总数据进行广泛的攻击，包括身份盗窃、复杂的网络钓鱼计划、有针对性的网络攻击以及未经授权访问个人和敏感帐户。”

　　MOAB在规模上使之前的数据泄露相形见绌。它比2013年影响雅虎客户的数据泄露事件大近10倍，该公司直到多年后才披露。

　　MOAB还引起了数据安全专业人士的注意，包括Forter的首席技术专家Doriel Abrahams。

　　Abrahams说：“尽管这次泄密的常见假设是没有什么'新'，但这种COMB对坏人非常有益。”“由于他们可以利用这些数据来验证用户在多个平台上是否拥有相似或相同的密码，因此他们可以尝试在其他网站上进行ATOs（帐户接管），而不是当前泄密的一部分。了解用户经常使用哪些平台是社会工程骗子的超级力量。它们可以更有针对性，最终更有效。”

　　Traceable AI的首席安全官Richard Bird想知道，新的漏洞是否会促使公司和政府更认真地对待数据安全。

　　Bird说：“也许最终需要像MOAB这样的东西才能让美国政府和在其境内运营的公司唤醒。”“我们生活在一个没有国家数据隐私法的国家，没有激励公司成为他们信任的数据的保护者，也没有似乎有效的刺激措施。公司将继续诋毁自己客户的生活，因为他们未能保护与他们相关的数据，并且不会为他们的失败感到痛苦。像这样的名单只会造成更多的受害者，他们必须自己理清对他们造成的损害，对最初提供这些数据的公司没有后果。”

　　随着数据泄露变得越来越普遍，公司和个人在未来可能会变得更加无礼。这可能意味着更大的漏洞、更敏感的数据，或两者兼而有之。例如，23andMe最近宣布，黑客已经获得了关于690万用户的信息，他们选择了DNA亲属功能。

　　Optiv数据治理、隐私和保护经理Jennifer Mahoney说，数据隐私周是一个很好的提醒，保护客户个人数据的责任在于收集、使用和共享个人数据的公司。

　　她写道：“公司有责任保护消费者，保护他们的数据，并在道德、伦理和法律上为他们做正确的事。”“以正确的方式处理数据隐私可以推动消费者的信任，并建立持久的关系。”

　　Mahoney说，技术创新往往超过立法和监管。但这并不意味着组织应该等待地方、州或联邦法律告知如何处理数据隐私。“他们现在需要采取行动，”她说。

　　由于GPT-4等新的生成语言模型，人工智能越来越受欢迎。然而，Adlumin副总裁兼战略主管Mark Sangster表示，GenAI增加了数据被滥用的风险。

　　Sangster说：“基本安全实践应该成为外部盾牌，特别关注数据和由此产生的义务。”“在人工智能方面，公司需要保护数据湖，并制定政策和程序，以确保私人数据不会被错误地泄露到大型学习模型的数据集中，这些模型可以轻松暴露机密和潜在的破坏性信息。”

　　Synack产品副总裁Jeff Barker说，在不考虑下游发生的潜在危害的情况下，将一段数据放入大型语言模型太容易了

　　Barker说：“当人们寻找从写电子邮件到诊断患者的快捷方式时，人工智能应用程序现在可以兼作高度个人数据的存储库。”“即使他们从一开始就不保存个人数据，LLM仍然可能因应用程序安全性差而中毒，导致用户与对手共享个人信息。”

　　Rubrik Zero实验室负责人Steve Stone说，GenAI对数据隐私构成了特殊威胁，但还有许多其他威胁，包括存储的数据数量和质量。例如，他说，一个典型组织的数据仅在过去18个月里就增长了42%，平均增长到2400万条敏感记录。

　　Stone说：“漏洞往往会损害敏感数据的神圣三位一体：个人身份信息、财务记录和登录凭据。”“只要这些有利可图的数据类型在各种云、端点和系统上保持分散，没有受到适当监控，它们将继续吸引和奖励日益复杂的攻击者。”

　　生物识别数据，如指纹和脸部，通常被吹捧为更高安全性的重要推动因素。但Veriff数字身份董事总经理Viktoria Ruubel说，生物识别数据作为一种特别敏感的数据形式带来了自己的负担。

　　Ruubel说：“作为消费者和员工，我们都见过或体验过生物识别技术。”“在业务环境中，人脸扫描可以进入受控访问区域甚至办公室。然而，虽然这些工具使身份验证变得更加容易，并减少了识别和身份验证的一些摩擦，但人们对生物识别数据和隐私的担忧日益高——生物识别数据对每个人来说都是永久性的，使其成为最个人化的识别形式之一。”

　　数据隐私日每年只有一次。但为了真正实现数据隐私，我们必须每天努力，Veritas Technologies全球副总裁兼数据合规和治理总经理Ajay Bhatia说。Bhatia说：“这是一个持续的过程，需要24/7/365的警惕。”