Un feed di fughe di dati è una fonte di monitoraggio che raccoglie rivendicazioni ransomware pubbliche, post su siti di leak e segnali correlati provenienti da forum criminali, blog e portali di estorsione. I team di sicurezza lo usano per individuare in anticipo possibili nomi di vittime, rivendicazioni su dati rubati, hash di file e minacce pubblicate di recente.
I feed di fughe di dati sono importanti perché spesso fanno emergere accuse prima che qualcuno confermi una violazione. Questo li rende utili per la threat intelligence, ma non costituiscono una prova di compromissione. In pratica, i difensori correlano gli elementi del feed con i log, gli avvisi degli endpoint, gli eventi di identità e la telemetria dei trasferimenti di dati per verificare se una rivendicazione corrisponde ad attività reale. Gli aggressori sfruttano anche la visibilità dei feed di fughe di dati per fare pressione sulle vittime, sapendo che anche un post non verificato può creare urgenza.