当今世界，信息泄漏的安全事故频繁发生。 而人们关注的焦点，却往往在于事故所殃及的人数。人数越多，则影响越大。 但对于受害者来说， 有1万人陪着，还是有5千万人，这之间真的有区别吗？

仅仅从犯罪的角度来看，每次窃取信息所祸害的人数，对于罪行是没有影响的。对犯罪源头的黑客来说，窃取1百万条记录比窃取1千条记录收益要大，所以黑客一定会黑了又黑的没完没了，直到拿到了最多的数据记录。 但除了黑客，网络犯罪的世界里，极其重视窃取数据的实效性和完整性。

有很多见不得光的交易场所，可以买卖窃取来的数据。包括各种黑客站点、各种隐秘的网站门户、各种数据交易站点或者其它什么交易场所。在这些地方，数据的交易价格也各不相同。 每条价格从 0.01 美分到 200 美金都有可能。 数据的价格也因个人信息的类别而差距极大。举个例子来说明，一旦泄漏事故被报道出来，则事故规模越大，信用卡记录的价值（包括姓名、地址、信用卡号、过期日期和CCV）会降低越多。原因在于，信用卡公司会更加快速的将这些卡添加到欺诈检测系统中，而银行则可能直接挂失这些卡。

在这样的一个生态环境中，存在各种各样的犯罪服务。这些服务帮助管理、验证、分销和隐藏盗窃来的数据。 例如，中间人或者服务商，通常收取25%的费用，来帮助卖家和买家传送数据。这些服务者还有评级系统和客户评价。同时，还有一种服务，每周处理几千万的信用卡信息，以验证每张卡是否还“活”着并判断每个账户的信用额度。

很多公众信息泄漏，造成用户姓名、电子邮件地址和相关密码的失窃。 幸运的是，多数情况下，密码都是加密的； 然而，往往数据被窃取时，秘钥（或者是盐）也会一并失窃。 在大多数的网络犯罪中，这种类型的数据是没有价值的；要想这些数据变废为宝，则在找到买家之前，黑客必须破解密码。而密码的破解非常耗费时间和资源，当然取得这些资源也并不困难。 退一步说，即便黑客能做到破解，账户和密码也只能打包贱卖，收不来几个小钱。 比如说，黑客窃取了一百万条数据，其中包含25万Gmail用户的邮件地址，但未必有多大价值。

安全事故的受害者，一定要清楚到底那些数据被窃取了。 25万条数据（用户名，邮件地址，和破解的密码）可能只卖了可怜的20美金。 购买者接着就可能用这些数据对其它网站进行暴力破解（包括gmail），希望能够碰上用户重复使用相同密码的好运。这些数据的价格（价值）每过一小时、每多卖一次（黑客卖出，或者购买者再次卖出）都会急剧降低。一旦这些被偷盗的数据公布了（例如，贴到了pastebin 网站上或者发布到了一个安全博客上），数据也就完全没有价值了。只有那些做安全研究的人，才可能还会有兴趣。

泄漏的信用卡信息，总会引起媒体最大的兴趣。但银行和信用卡公司，也在炮火中成长，已经能够非常迅速、高效的应对这些信息泄漏。实际上，这些金融机构已经在美国投入重金用于部署自动欺诈检测系统。泄漏了信用卡信息，就直接导致人们丢失钱财的可能性，已经非常小了。

随着美国在信用卡和储蓄卡上普及芯片技术（从2015年10月开始），复制伪造卡片和店内欺诈的情况将进一步减少。对于那些黑客来说，窃取的信用卡信息也越来越没有价值。 很多人都曾经质疑，美国的“芯片加签名”策略，在防欺诈上，是否优于欧洲的“芯片加密码”。

如果窃取的邮件地址、密码甚至是信用卡信息，对于黑客不再意味着大笔的金钱，那么谁还会浪费精力去去偷去骗呢？

信息越详细，则用途越多，因而对于网络犯罪生态圈的价值也就越大。 举个例子，一条数据，如果包含了用户的全名、地址、生日、社保号、驾照号、身份影像（护照页或者驾照的扫描文件）和银行账号，则可能价格高达100美金。具体价格随用户所在的国家和国籍而定。

很多人就此猜测，这些数据当然会被用来从受害人的银行账户里转移资金。如果罪犯能够挖到账户的在线密码，那么确实是会这样的。但更可能的情况是，这些数据会被用来创建多个新银行账户，以用来为其它国际犯罪企业洗钱，或者用来申请新的信用卡和贷款，从而快速取现。

不论是一个硬件零售商店的大规模数据泄漏，还是一个鲜花网店的一百条数据丢失，对于受害人来说，丢失的数据数量都不是关键。关键的是数据的类型、数据的完整程度和时效。 受害人一定要清楚直到那些数据被窃取了。 那些难以修改或者删除的数据，带来的损失最大、威胁的时间最长，也因其价值更容易成为罪犯的目标。

（http://techcrunch.com/2015/10/25/valuing-a-data-breach-victim/）