安全419盘点 2023年第三季度全国数据安全及个人信息泄露大事芒果体育记
原标题:安全419盘点 2023年第三季度全国数据安全及个人信息泄露大事记
随着数字经济成为世界经济发展的新动力,推动数据量的高速增长,数据安全风险敞口也在同步激增,同时传统的犯罪类型也借助新兴技术不断形成新的变种,在侵犯数据权益的同时,对社会公共利益乃至国家安全也造成严重威胁。安全419梳理了2023年第三季度全国范围内公开通报的重大数据安全及个人信息泄露案例,供大家阅读,防患于未然。
7月6日,中山市三乡公安分局鹤湾派出所发现辖区某科技公司疑似存在网络数据泄露隐患。经查该公司在没有依法建立数据安全管理制度和操作规程等数据保护措施的前提下,对存储的公民敏感信息数据未采取去标识化和加密保护,用于存储公民敏感信息的服务器也存在未授权访问的漏洞,用户隐私数据存在泄露风险。依据《数据安全法》有关规定对该信公司处以警告以及罚款5万元的行政处罚,对负责人作出罚款1万元的行政处罚。
7月31日,重庆市网信办依据《数据安全法》对属地一科技公司作出责令限期改正,给予行政警告,并处10万元罚款的行政处罚。经查该公司因业务开展,收集、存储、处理的网络数据量较大,但未建立健全全流程网络数据安全管理制度,未组织开展网络数据安全教育培训,未采取相应的技术措施,保障网络数据安全等数据安全保护义务,且存在数据库数据泄露的情形。
1月,云南怒江公安机关办理一起网络赌博案件发现,大量用于洗钱的支付宝账号在某地集中注册且号主不知情。经查,云南两公司以免费帮助地方医保部门推广电子医保卡的名义骗取医保部门授权文件,再转包给各地市地推团伙,诱骗乡镇居民注册电子医保卡,同时,骗取手机号、验证码和身份证信息,批量注册网络账号,再贩卖给电信诈骗、网络赌博、网络水军等团伙用于下游犯罪。3月,云南怒江公安集中收网,打掉“医保地推”团伙9个,抓获犯罪嫌疑人141名(其中内鬼3名)。
2月,广东佛山公安机关发现本地一汽车服务公司工作人员利用通讯群组非法出售事故车主信息截图。经查,公司为拓展汽车维修中介业务,勾结保险公司、拖车公司以及路政部门工作人员,非法获取其工作过程中掌握的交通事故车主信息,并根据车辆品牌、事发地等联系特定汽车4S店、汽修厂,通过送保养、油卡等好处诱导事故车主前往指定地点维修,赚取信息中介费用。3月,佛山公安集中收网,抓获犯罪嫌疑人47名,涉案金额300余万元。
3月,山东济南公安机关工发现本地群众大量收到一儿童照相馆的广告骚扰电话。经查,该相馆实际控制人为推广业务,从家政公司、妇婴用品销售企业、卫生医疗机构工作人员处非法获取公民个人信息,雇佣人员拨打骚扰电话进行精准营销。同时,还将上述信息转卖至月子中心、保险公司等机构牟利。4月,济南公安集中收网,抓获犯罪嫌疑人8名,涉案金额200余万元。
1月,安徽宣城公安机关接群众举报,称其在一借贷平台填写信息申请车辆贷款后,收到另一贷款公司的推广电话。经查,该平台既无借贷资质也不从事借贷业务,而是一家从事“居间助贷”的中介公司,在搜索引擎、短视频平台等发布广告,吸引有贷款需求人员填写个人信息后,在当事人未授权的情况下,将相关信息出售给贷款人归属地的贷款公司牟利。5月,宣城公安集中收网,抓获犯罪嫌疑人39名,打掉涉嫌侵犯公民个人信息的公司3家,涉案金额1600余万元。
1月,江苏无锡公安机关发现,网民“法不容情”大量发布查询公民户籍、婚姻状况、寄递物流、住宿、财产等信息的广告。经查,秦某等人通过法律工作者专用交流平台勾结执业律师,以虚构案件为由出具虚假文书、介绍信等文件,向司法机关、金融部门等调取大量公民个人信息出售。3月,无锡公安集中收网,摧毁该条以律师身份为掩护窃取公民个人信息的黑产链条,抓获犯罪嫌疑人11名(其中,执业律师3名),涉案金额300余万元。
5月,浙江宁波公安机关在侦办一起网络诈骗案件时发现,诈骗分子掌握大量公民个人信息。经查,李某等人成立传媒公司,联系网红在某平台直播间带货页面以低价销售网红教学素材为诱饵,骗取用户购买商品并提供个人信息,进而出售给下游诈骗团伙。6月,宁波公安集中收网,抓获犯罪嫌疑人12名,并顺线打掉下游直播培训诈骗团伙,涉案金额560余万元。
2月,福建厦门公安机关接到某科技公司报案称,其信息系统被攻击导致大量用户信息泄露。经查,马某发现该公司开发的“跟单宝”系统中的交易记录等信息具有经济价值,指使杨某、陈某等人入侵该系统,非法获取大量公民个人信息,并转卖至李某、刘某、黄某等人处。李某利用上述信息通过拨打骚扰电话、邮寄产品等方式向受害人进行精准营销。3月,厦门公安集中收网,抓获犯罪嫌疑人7名,涉案金额200余万元。此外,厦门公安机关还依法对该科技公司未履行网络安全保护义务行为给予行政处罚。
3月,上海闵行公安机关在侦办一起网络诈骗芒果体育案时发现,犯罪嫌疑人准确掌握受害人的网购记录、物流信息等。经查,彭某等人在境外网站发现有人有偿求购物流信息,随即与该人联系获取木马程序,并应聘为快递公司员工,利用职务便利在公司业务计算机内植入木马程序,其上线人员通过木马程序获取大量快递信息,进一步实施网络诈骗。5月,上海公安集中收网,抓获采取相似手法窃取公民个人信息的犯罪嫌疑人8名。
7月,陕西西安公安机关接到电信部门通报,称本地存在违规开展外呼服务的第三方电信公司。经查,西安某电信公司员工为牟取利益,指使他人开发批量获取电信运营商内部系统数据的程序,部署于电信运营商内网,并将程序使用权限出售至第三方电信公司,该公司工作人员使用该程序非法获取公民个人信息后,按照其客户要求拨打骚扰电线月,西安公安集中收网,抓获犯罪嫌疑人6名(其中,电信运营商工作人员1名)。
2月,福建龙岩公安机关接群众举报,称购买新房后收到大量装修建材类骚扰电话。经查,龙岩某房地产公司员工利用职务便利,非法获取并向郭某等人出售大量业主信息,郭某再将上述信息分别转卖至建材家居、装修设计公司,相关公司人员或违规使用外呼系统拨打骚扰电线月,龙岩公安集中收网,抓获犯罪嫌疑人14名(其中,房地产行业工作人员1名),涉案金额30余万元。
8月11日,广西北海公安发现北海某网站存在数据泄露问题,网站约22万个人信息数据被挂在境外论坛售卖。涉案公司网站在日常工作中收集了个人和企业等大量公民信息,服务器安全防护措施不足,仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御,网站存在被多个境外IP攻击入侵的情况,未采取数据加密等有效的技术保护措施,且在发现公司发生个人信息泄露的情况下,未及时告知用户和主动向公安机关报告。根据《网络安全法》第四十二条的规定,对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。
8月17日,南昌公安网安部门发现南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。经查,涉案高校未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。根据《数据安全法》第四十五条规定,对该学校作出责令改正、警告并处80万元罚款的处罚,对主要责任人作出5万元罚款的处罚。
9月1日,国家网信办对中国知网依法作出网络安全审查相关行政处罚,经查,知网(CNKI)主要三家运营主体运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,对知网(CNKI)依法作出责令停止违法处理个人信息行为,并处人民币5000万元罚款的行政处罚。
9月6日,江苏公安机关网安部门通报已累计依据《数据安全法》办理行政案件336起,并公布五起典型案例。
江苏宿迁公安网安部门对当地某医学检验机构检查时发现,该机构运营的医学检验信息平台存在SQL注入漏洞、弱口令等网络安全隐患,且未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动开展风险监测和定期风险评估,可致敏感业务数据泄露,涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定,对该机构予以行政警告并处罚款10万元。
江苏苏州公安网安部门发现,成都某科技有限公司在为苏州某信息科技股份有限公司相关系统运维过程中,未建立健全全流程数据安全管理制度,为图工作方便,私自将该公司30余万条运营数据上传至互联网,且未落实任何技术防护措施保障数据安全,未对其数据处理活动开展风险监测,可致该批数据泄露,涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定,对该公司予以行政警告并处罚款5万元。
江苏泰州公安网安部门工作发现,当地某不动产登记中心的“业务练兵系统”存在Elasticsearch未授权访问安全漏洞,且未建立健全全流程数据安全管理制度,未落实有效的数据安全防护措施,可致该系统中存储的24万余条业务数据泄露,涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定,对该不动产登记中心予以行政警告并责令改正;对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。
江苏盐城公安网安部门在对当地某医药公司检查时发现,该公司医疗健康信息的会员管理系统存有大量公民个人信息,经现场检测发现该系统存在网络安全漏洞,且该公司未建立数据安全管理制度,未组织开展数据安全教育培训,也未采取相应技术措施保障数据安全,涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。
江苏南通公安网安部门对当地某科技有限公司检查时发现,该公司对包含生产工艺流程、操作手册、员工个人信息等数据的MySQL数据库(数据量达百万条),未建立数据安全管理制度,也未采取相应技术措施保障数据安全,并且存在使用“弱口令”即可登录平台、访问数据的情况,涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定,对该公司予以行政警告并责令限期改正。
9月15日,上海市互联网信息办公室公布一起行政处罚案件。上海市某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间,相关存储端存在高危漏洞,导致大量公民数据泄露,以致成为境外不法分子窃取政务数据的“供应链”入口,相关公民个人信息在境外黑客论坛被披露兜售。上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查,并对该公司作出行政处罚。
9月16日,北京市公安局昌平、朝阳两分局网安部门充分运用《数据安全法》,对未制定数据安全管理制度、未充分落实网络安全管理等级保护制度的相关违法企业依法给予行政处罚。
北京市公安局昌平分局网安部门发现辖区内某软件有限公司研发的“某数据分析系统”存在数据泄露隐患,其研发的“数据分析系统”内存有用户姓名、基因数据等数据信息,该系统内数据信息未采用加密措施,系统服务器未采取任何网络防护和技术防护措施,造成19.1GB公民隐私数据暴露在互联网。根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并处罚款五万元人民币,责令限期改正。