多年来，我已经看到成百上千个数据泄露通知，警告该公司的数据丢失，被盗或留在网上供任何人窃取。

它们中的大多数看上去基本相同。我的工作是解读这些信息对遭受信息威胁的受害者的实际含义。

数据泄露通知旨在告诉您发生了什么，何时以及对您产生什么影响。您今年可能已经见过一些。这是因为美国大多数州都制定了法律，迫使公司尽快公开披露安全事件，例如数据泄露。欧洲的规则更加严格，如果不披露违规行为，罚款可能是很常见的情况。

但是，数据泄露通知已成为危机通信中的一种非常常规的做法。这些通知越来越多地试图逃避责备，混淆重要细节并忽略重要事实。毕竟，保持股票市场的快乐，投资者的满意和监管者的支持对公司来说是最大利益。为什么要说相反的话？

下次收到数据泄露通知时，请在两行之间阅读。通过了解要避免的常见废话行，您可以了解需要提出的问题。

“我们认真对待安全和隐私。”
阅读：“我们显然没有。”

在数据泄露通知中经常出现的一句话，我们去年首次写到公司“认真”采取安全和隐私措施。我们发现，2019年向加利福尼亚州检察长提交的所有通知中约有1/3对此行有所更改。现实情况是，大多数公司对您的数据的隐私或安全几乎没有同情心或关心，但确实关心必须向客户解释其数据被盗。这是一个空心的，过度使用的短语，毫无意义。

“我们最近发现了一起安全事件……”
阅读：“其他人找到了，但我们正在尝试进行破坏控制。”

听起来足够无害，但这是正确的重要说明。当一家公司说他们“最近发现”了一个安全事件时，请问是谁实际举报了该事件。经常有一个记者（像我一样）来发表评论，因为黑客删除了包含其客户数据库的文件，而现在该公司正争夺该事件的所有权，因为它看上去比黑暗中的公司还好。

“一个未经授权的人……”
读到：“我们不知道该怪谁，但不怪我们。”

这是数据泄露通知中最有争议的部分之一，可以归结为一个简单的问题：谁应该为安全事件负责？从法律上讲，“未经授权的访问”是指某人经常使用他人的密码或绕过登录屏幕而非法闯入系统。但是公司常常会弄错这一点，或者无法（或不想）区分事件是否为恶意事件。如果某个系统在没有密码的情况下被暴露或保持在线状态，则您应归咎于公司松懈的安全控制。例如，如果一个诚实的安全研究人员发现并报告了一个未受保护的系统，则没有理由将其描述为恶意行为者。公司喜欢转移责任，因此请保持开放的态度。

“我们立即采取了措施……”
阅读：“一旦发现，我们便立即采取行动。”

黑客并非总是会陷入困境。在很多情况下，大多数黑客在公司了解到违规行为时就已经走了。当一家公司表示已立即采取措施时，不要以为是从违规那一刻起。Equifax说，它“立即采取行动”制止了入侵，黑客入侵后窃取了近1.5亿消费者的信用记录。但是在Equifax发现可疑活动之前，黑客已经进入系统两个月了。真正重要的是安全事件何时开始；公司何时得知安全事件的；公司何时将违规情况通知监管机构？

“我们的法医调查显示……”
阅读：“我们要求某人告诉我们我们的情况如何。”

事件响应者有助于了解入侵或数据泄露是如何发生的。它有助于公司收集网络保险，并防止再次发生类似的违规事件。但是有些公司宽松地使用“取证”一词。内部调查不是透明的或不负责任的，其结果很少受到审查或公布，而事件响应者是独立的合格评估师，即使他们的发现可能仍然存在，它们都可以告诉公司需要听什么而不是想要听什么。私人的。

“出于谨慎考虑，我们想通知您该事件。”
阅读：“我们被迫告诉你。”

不要再三考虑一家公司通过披露安全事件来做“正确的事情”。在美国和欧洲，公司没有选择的余地。大多数州都有某种形式的数据泄露通知法，迫使公司披露影响到一定数量以上居民的事件。不披露违规行为可能会导致严厉的处罚。看看雅虎（与TechCrunch一样，由Verizon拥有），该公司于2018年因未能披露其数据泄露事件之一而被罚款3500万美元，该数据泄露事件导致5亿个用户帐户被盗。

“一次复杂的网络攻击……”
阅读：“我们试图使自己看起来不像我们现在一样愚蠢。”

仅仅因为一家公司表示受到“复杂”网络攻击的打击，并不意味着是这样。它是夸张的，旨在用作“掩盖你的屁股”声明，以轻描淡写安全事件。它真正告诉您的是，该公司不知道攻击是如何发生的。毕竟，历史上一些最大的漏洞是由于未打补丁的系统，弱密码或有人单击了恶意电子邮件所致。

“没有证据表明已获取数据。”
阅读：“我们知道。”

“没有证据”并不表示尚未发生任何事情，而是尚未看到。公司要么看起来不够努力，要么不知道。即使一家公司表示“没有证据”证明数据被盗，也有必要询问它如何得出结论。

“一小部分客户受到影响。”
阅读：“如果我们说“数百万”用户，这听起来会更糟。”

下次您看到一条数据泄露通知，说只有一小部分客户受到泄露影响时，请花一分钟时间来思考这实际上意味着什么。Houzz承认在2019年1月发生数据泄露，其中说“我们的一些用户数据”已被窃取。几个月后，一名黑客发布了大约5700万个Houzz用户记录。哥伦比亚广播公司（CBS）拥有的Last.fm 在2012年还表示，其“某些”密码被盗。它后来量达 4300万个密码。如果一家公司没有告诉您有多少人受到影响，那是因为他们不知道-或他们不想让您知道。