今天，我将第1000个数据泄露事件加载到 Have I Been Pwned 中。回顾这一里程碑数字，我考虑如何用文字来纪念这一时刻，立刻想到一个非常简单的问题：为什么仍然需要？特别是在我开始 HIBP 的过去12年半时间里，随着GDPR和CCPA等隐私法规的出现，它还有什么可能的目的？标题在某种程度上已经给出了答案，而我们今天达到的这一大数字恰好 coincided with another pattern that makes everything worse: increasingly long lag times for disclosure. 这一切都将是轶事式的，至少就我所知，没有硬性的数据可以引用，但证据随处可见。我的意思是：新的泄露：游轮运营商嘉年华上周遭到ShinyHunters“支付或泄露”攻击。870万条记录，750万个电子邮件地址和忠诚计划数据昨天被发布。85%已在@haveibeenpwned中。详情请见：https://t.co/QhqNt0WucV — Have I Been Pwned (@haveibeenpwned) 2026年4月24日 这是4月24日，事件发生后五天。考虑到ShinyHunters的作风，嘉年华早在他们通过在自己的网站上宣布即将泄露的消息加大勒索压力之前，就已经知道了泄露事件。随后在24日的泄漏非常公开：该团体的暗网网站上发布了公告，数据本身被发布到他们的明网网站，并附上行业评论：🚨大规模数据泄露嘉年华公司（https://t.co/pGlchZ1yFy）显然受到影响——超870万客户记录曝光 📊 涉及的数据包括：• 姓名与电子邮件地址 • 出生日期与性别 • 位置信息与忠诚计划详情 🎯 与ShinyHunters相关… pic.twitter.com/Fd8tNFPqpd — Intel and Breaches (@IBreaches) 2026年4月24日 根据最后一条帖子，数据随后被重新发布到各种其他地方：黑客论坛、Telegram频道，以及谁知道还有多少其他更私密的地方。关键是它传播得非常迅速、广泛，并且毫无疑问地，嘉年华对此是知情的。然后他们在5月27日告诉人们…… 根据他们当天的新闻稿，这是在得知事件43天之后。超过六周的时间里，那些姓名、出生日期、电子邮件地址、忠诚计划细节以及当然与嘉年华相关联的客户，公开泄露给大众，却完全不知道他们的曝光情况。如果他们询问嘉年华？那么：就在四天前，我们听到“我在HIBP中显示有泄露，但嘉年华告诉我没有泄露！” pic.twitter.com/YYmGm3NzEY — Troy Hunt (@troyhunt) 2026年5月28日 那么，为什么会有这样的延迟？上周的新闻报道可能提供了一些见解：对受影响数据的彻底和耗时的分析。 我经常听到披露延迟的原因是“我们需要全面评估曝光数据的范围，然后才能通知人们”。我对这种观点的问题在于，它暗示即使提前提醒也不能发生，直到对影响有非常全面的理解。在数据泄露后，有许多事情需要时间去确立：每个人所处的司法管辖区、曝光的精确数据以及可能埋藏在兆字节的外泄数据中的额外信息。但提取电子邮件地址并发送早期通知非常简单——我现在已经做到这一千次了。这不仅仅是嘉年华的问题；实际上，它是由于接下来几天之后我被促使写这篇文章：天哪。 45天。甚至比嘉年华还糟。就像嘉年华一样，广泛传播且大众都能轻易获取，包括HIBP： 新泄露：Zara被命名为上个月ShinyHunters的受害者，随后包含197,000个独特电子邮件地址的数据被发布。受影响的数据包括客户支持记录、产品SKU和订单ID。60%已在@haveibeenpwned中。 更多信息：https://t.co/0hIQbqoBCk — Have I Been Pwned (@haveibeenpwned) 2026年5月8日 我有一个工作理论，认为披露延迟在一定程度上是由于集体诉讼在泄露后立即的激增。在我上周末的直播中，我快速搜索了DentaQuest泄露：前四个结果中有三个都是与该泄露相关的集体诉讼，还有两个集体诉讼结果在页面的稍远处。我多年来一直在担心集体诉讼的负面影响，而这比我见过的任何时候都更糟。 而且幅度很大。 这不仅仅是我观察到的这些组织的行为似乎受到了律师的反应的影响。请阅读Roby Joyce的这篇文章（如果你还不知道他为什么值得关注，请查看他的简历），在他通过HIBP了解到他在ZenBusiness泄露中的曝光后。