跨国应用安全公司ImmuniWeb发布最新调查研究报告，探寻全球网络安全行业本年度暗网暴露情况。报告披露，97%的主流网络安全公司在暗网上暴露有数据泄露或其他安全事件，每家安全公司平均有超过4000份被盗凭证和其他敏感数据暴露于暗网。

   正如ImmuniWeb的研究所示，即使是网络安全行业本身也无法幸免于数据泄露。

   关于全球主流网络安全公司的安网暴露情况，此项研究的主要发现有：

   97%的公司在暗网上暴露有数据泄露和其他安全事件。

    发现的631,512起已确认安全事件中，超过25%（160,529）归属高风险等级类别或严重风险等级类别，包含明文凭证或个人可识别信息（PII）等高度敏感的信息，包括金融或类似数据。由此，每家网络安全公司平均暴露1586份被盗凭据和其他敏感数据。ImmuniWeb的研究中还发现了超过100万起（1,027,395）未确认事件，估测仅159,462起为低风险事件。

   29%的被盗密码是弱密码，162家公司的员工重复使用密码：研究发现，29%的被盗密码强度很弱，长度少于8个字符，或是缺少大写字母、数字或其他特殊字符；而162家公司的大约40名员工，在不同数据泄露事件中重复使用相同的密码，增加了网络罪犯进行密码重用攻击的风险。

   工作电子邮件被用于色情和成人约会网站：ImmuniWeb的研究发现，5,121份凭证盗自被黑色情或成人约会网站，表明第三方数据泄露占据此类安全事件的一大部分。

   63%的网络安全公司网站不符合PCI DSS要求：意味着这些网站使用脆弱或过时的软件（包括JS库和框架），或者未将Web应用防火墙（WAF）置于阻止模式。

   48%网络安全公司网站不符合GDPR要求：因为存在脆弱软件，缺乏明显的隐私政策，或cookie包含PII或可跟踪标识符时缺少免责声明。

91家公司存在可利用的网站安全漏洞，其中26%尚未修复：ImmuniWeb的这项发现援引了Open Bug Bounty漏洞奖励项目中公开可用的数据。

    此项研究采用ImmuniWeb的免费在线域名安全测试（Domain Security Test）进行，结合了经机器学习增强的专有OSINT技术，旨在发现和分类暗网暴露。测试对象涵盖来自26个国家的398家主流网络安全公司（其中大多数是美国和欧洲的公司）。

   美国的网络安全公司遭受了最严重的高风险事件，其次是英国和加拿大，然后是爱尔兰、日本、德国、以色列、捷克共和国、俄罗斯和斯洛伐克。

   在接受测试的398家网络安全公司中，只有瑞士、葡萄牙和意大利的公司没有遭受任何高风险或重大风险事件，而比利时、葡萄牙和法国公司遭受的已确认事件数量最少。