案例网络安全信息披露_安全419盘点 | 2023年第三季度全国数据安全及个人信 ...

案例网络安全信息披露_安全419盘点 | 2023年第三季度全国数据安全及个人信息泄露大事记_新手漏洞指南

随着数字经济成为世界经济发展的新动力，推动数据量的高速增长，数据安全风险敞口也在同步激增，同时传统的犯罪类型也借助新兴技能不停形成新的变种，在侵占数据权益的同时，对社会公共长处乃至国家安全也造成严重威胁。安全419梳理了2023年第三季度全国范围内公开通报的庞大数据安全及个人信息泄露案例，供各人阅读，防患于未然。
中山市公安机关查处违反《数据安全法》案件
7月6日，中山市三乡公安分局鹤湾派出所发现辖区某科技公司疑似存在网络数据泄露隐患。经查该公司在没有依法建立数据安全管理制度和操纵规程等数据保护措施的条件下，对存储的公民敏感信息数据未接纳去标识化和加密保护，用于存储公民敏感信息的服务器也存在未授权访问的漏洞，用户隐私数据存在泄露风险。依据《数据安全法》有关规定对该信公司处以警告以及罚款5万元的行政处罚，对负责人作出罚款1万元的行政处罚。
重庆市网信办查处违反《数据安全法》案件
7月31日，重庆市网信办依据《数据安全法》对属地一科技公司作出责令限期改正，给予行政警告，并处10万元罚款的行政处罚。经查该公司因业务开展，网络、存储、处置惩罚的网络数据量较大，但未建立健全全流程网络数据安全管理制度，未构造开展网络数据安全教育培训，未接纳相应的技能措施，保障网络数据安全等数据安全保护义务，且存在数据库数据泄露的情形。
公安部公布打击侵占公民个人信息犯罪十大典型案例
8月10日，公安部公布打击侵占公民个人信息犯罪十大典型案例。
1、云南怒江侵占公民个人信息案
1月，云南怒江公安机关办理一起网络赌博案件发现，大量用于洗钱的支付宝账号在某地集中注册且号主不知情。经查，云南两公司以免费资助地方医保部门推广电子医保卡的名义骗取医保部门授权文件，再转包给各地市地推团伙，诱骗乡镇住民注册电子医保卡，同时，骗取手机号、验证码和身份证信息，批量注册网络账号，再贩卖给电信诈骗、网络赌博、网络水军等团伙用于卑鄙犯罪。3月，云南怒江公安集中收网，打掉“医保地推”团伙9个，抓获犯罪怀疑人141名（其中内鬼3名）。
2、广东佛山某汽车服务有限公司侵占公民个人信息案
2月，广东佛山公安机关发现当地一汽车服务公司工作人员利用通讯群组非法出售事故车主信息截图。经查，公司为拓展汽车维修中介业务，勾结保险公司、拖车公司以及路政部门工作人员，非法获取其工作过程中把握的交通事故车主信息，并根据车辆品牌、事发地等联系特定汽车4S店、汽修厂，通过送保养、油卡等好处诱导事故车主前往指定所在维修，赚取信息中介费用。3月，佛山公安集中收网，抓获犯罪怀疑人47名，涉案金额300余万元。
3、山东济南席某倩侵占公民个人信息案
3月，山东济南公安机关工发现当地群众大量收到一儿童照相馆的广告骚扰电话。经查，该相馆实际控制人为推广业务，从家政公司、妇婴用品销售企业、卫生医疗机构工作人员处非法获取公民个人信息，雇佣人员拨打骚扰电话举行精准营销。同时，还将上述信息转卖至月子中心、保险公司等机构牟利。4月，济南公安集中收网，抓获犯罪怀疑人8名，涉案金额200余万元。
4、安徽宣城“1.10”侵占公民个人信息案
1月，安徽宣城公安机关接群众举报，称其在一借贷平台填写信息申请车辆贷款后，收到另一贷款公司的推广电话。经查，该平台既无借贷资质也不从事借贷业务，而是一家从事“居间助贷”的中介公司，在搜刮引擎、短视频平台等发布广告，吸引有贷款需求人员填写个人信息后，在当事人未授权的环境下，将相关信息出售给贷款人归属地的贷款公司牟利。5月，宣城公安集中收网，抓获犯罪怀疑人39名，打掉涉嫌侵占公民个人信息的公司3家，涉案金额1600余万元。
5、江苏无锡秦某等网民侵占公民个人信息案
1月，江苏无锡公安机关发现，网民“法不容情”大量发布查询公民户籍、婚姻状态、寄递物流、留宿、财产等信息的广告。经查，秦某等人通过法律工作者专用交换平台勾结执业律师，以假造案件为由出具虚假文书、介绍信等文件，向司法机关、金融部门等调取大量公民个人信息出售。3月，无锡公安集中收网，摧毁该条以律师身份为掩护盗取公民个人信息的黑产链条，抓获犯罪怀疑人11名（其中，执业律师3名），涉案金额300余万元。
6、浙江宁波李某等人侵占公民个人信息案
5月，浙江宁波公安机关在侦办一起网络诈骗案件时发现，诈骗分子把握大量公民个人信息。经查，李某等人成立传媒公司，联系网红在某平台直播间带货页面以低价销售网红教学素材为诱饵，骗取用户购买商品并提供个人信息，进而出售给卑鄙诈骗团伙。6月，宁波公安集中收网，抓获犯罪怀疑人12名，并顺线打掉卑鄙直播培训诈骗团伙，涉案金额560余万元。
7、福建厦门某科技有限公司信息泄露案
2月，福建厦门公安机关接到某科技公司报案称，其信息体系被攻击导致大量用户信息泄露。经查，马某发现该公司开发的“跟单宝”体系中的交易记录等信息具有经济代价，教唆杨某、陈某等人入侵该体系，非法获取大量公民个人信息，并转卖至李某、刘某、黄某等人处。李某利用上述信息通过拨打骚扰电话、邮寄产品等方式向受害人举行精准营销。3月，厦门公安集中收网，抓获犯罪怀疑人7名，涉案金额200余万元。此外，厦门公安机关还依法对该科技公司未履行网络安全保护义务举动给予行政处罚。
8、上海闵行侵占公民个人信息案
3月，上海闵行公安机关在侦办一起网络诈骗案时发现，犯罪怀疑人准确把握受害人的网购记录、物流信息等。经查，彭某等人在境外网站发现有人有偿求购物流信息，随即与该人联系获取木马程序，并应聘为快递公司员工，利用职务便利在公司业务盘算机内植入木马程序，其上线人员通过木马程序获取大量快递信息，进一步实行网络诈骗。5月，上海公安集中收网，抓获接纳相似手法盗取公民个人信息的犯罪怀疑人8名。
9、陕西西安侵占公民个人信息案
7月，陕西西安公安机关接到电信部门通报，称当地存在违规开展外呼服务的第三方电信公司。经查，西安某电信公司员工为牟取长处，教唆他人开发批量获取电信运营商内部体系数据的程序，摆设于电信运营商内网，并将程序使用权限出售至第三方电信公司，该公司工作人员使用该程序非法获取公民个人信息后，按照其客户要求拨打骚扰电话精准营销。6月，西安公安集中收网，抓获犯罪怀疑人6名（其中，电信运营商工作人员1名）。
10、福建龙岩某公司侵占公民个人信息案
2月，福建龙岩公安机关接群众举报，称购买新房后收到大量装构筑材类骚扰电话。经查，龙岩某房地产公司员工利用职务便利，非法获取并向郭某等人出售大量业主信息，郭某再将上述信息分别转卖至建材家居、装修筹划公司，相关公司人员或违规使用外呼体系拨打骚扰电话。3月，龙岩公安集中收网，抓获犯罪怀疑人14名（其中，房地产行业工作人员1名），涉案金额30余万元。
广西公安适用《网络安全法》对违法单位罚款20万元
8月11日，广西北海公安发现北海某网站存在数据泄露标题，网站约22万个人信息数据被挂在境外论坛售卖。涉案公司网站在日常工作中网络了个人和企业等大量公民信息，服务器安全防护措施不敷，仅能对SQL注入、XSS、等简单攻击手段举行防御，网站存在被多个境外IP攻击入侵的环境，未接纳数据加密等有效的技能保护措施，且在发现公司发生个人信息泄露的环境下，未实时告知用户和自动向公安机关报告。根据《网络安全法》第四十二条的规定，对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。
因数据泄露 南昌某高校被罚款80万元
8月17日，南昌公安网安部门发现南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。经查，涉案高校未建立全流程数据安全管理制度，未接纳技能措施保障数据安全，未履行数据安全保护义务，导致学校存储教职工信息、门生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵，其中3万余条教职工、门生个人敏感信息数据被非法兜售。根据《数据安全法》第四十五条规定，对该学校作出责令改正、警告并处80万元罚款的处罚，对主要责任人作出5万元罚款的处罚。
国家网信办对中国知网依法作出网络安全检察相关行政处罚
9月1日，国家网信办对中国知网依法作出网络安全检察相关行政处罚，经查，知网（CNKI）主要三家运营主体运营的手机知网、知网阅读等14款App存在违反必要原则网络个人信息、未经同意网络个人信息、未公开或未明示网络使用规则、未提供账号注销功能、在用户注销账号后未实时删除用户个人信息等违法举动。依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规，对知网（CNKI）依法作出责令停止违法处置惩罚个人信息举动，并处人民币5000万元罚款的行政处罚。
江苏公安已累计依据《数据安全法》办理行政案件336起
9月6日，江苏公安机关网安部门通报已累计依据《数据安全法》办理行政案件336起，并公布五起典型案例。
1.宿迁某医学检验机构不履行数据安全保护义务案
江苏宿迁公安网安部门对当地某医学检验机构查抄时发现，该机构运营的医学检验信息平台存在SQL注入漏洞、弱口令等网络安全隐患，且未建立数据安全管理制度，未构造数据安全教育培训，未接纳相应技能措施保障数据安全，未对其数据处置惩罚活动开展风险监测和定期风险评估，可致敏感业务数据泄露，涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定，对该机构予以行政警告并处罚款10万元。
2.成都某科技有限公司不履行数据安全保护义务案
江苏苏州公安网安部门发现，成都某科技有限公司在为苏州某信息科技股份有限公司相关体系运维过程中，未建立健全全流程数据安全管理制度，为图工作方便，私自将该公司30余万条运营数据上传至互联网，且未落实任何技能防护措施保障数据安全，未对其数据处置惩罚活动开展风险监测，可致该批数据泄露，涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定，对该公司予以行政警告并处罚款5万元。
3.泰州某不动产登记中心北京某科技发展研究中心不履行数据安全保护义务案
江苏泰州公安网安部门工作发现，当地某不动产登记中心的“业务练兵体系”存在未授权访问安全漏洞，且未建立健全全流程数据安全管理制度，未落实有效的数据安全防护措施，可致该体系中存储的24万余条业务数据泄露，涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定，对该不动产登记中心予以行政警告并责令改正；对该体系的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。
4.盐城某医药公司不履行数据安全保护义务案
江苏盐城公安网安部门在对当地某医药公司查抄时发现，该公司医疗康健信息的会员管理体系存有大量公民个人信息，经现场检测发现该体系存在网络安全漏洞，且该公司未建立数据安全管理制度，未构造开展数据安全教育培训，也未接纳相应技能措施保障数据安全，涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定，对该公司予以行政警告并责令限期改正。
5.南通某科技有限公司不履行数据安全保护义务案
江苏南通公安网安部门对当地某科技有限公司查抄时发现，该公司对包罗生产工艺流程、操纵手册、员工个人信息等数据的MySQL数据库（数据量达百万条），未建立数据安全管理制度，也未接纳相应技能措施保障数据安全，并且存在使用“弱口令”即可登录平台、访问数据的环境，涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定，对该公司予以行政警告并责令限期改正。
上海一政务信息体系技能服务公司因泄露公民个人信息被行政处罚
9月15日，上海市互联网信息办公室公布一起行政处罚案件。上海市某政府信息体系技能承包商违规将政务数据置于互联网举行测试期间，相关存储端存在高危漏洞，导致大量公民数据泄露，以致成为境外非法分子盗取政务数据的“供应链”入口，相关公民个人信息在境外黑客论坛被披露兜售。上海市网信办和谐有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查，并对该公司作出行政处罚。
北京网安适用《数据安全法》处罚违法单位
9月16日，北京市公安局昌平、朝阳两分局网安部门充实运用《数据安全法》，对未制定数据安全管理制度、未充实落实网络安全管理等级保护制度的相关违法企业依法给予行政处罚。
案件一：
北京市公安局昌中分局网安部门发现辖区内某软件有限公司研发的“某数据分析体系”存在数据泄露隐患，其研发的“数据分析体系”内存有效户姓名、基因数据等数据信息，该体系内数据信息未采用加密措施，体系服务器未接纳任何网络防护和技能防护措施，造成19.1GB公民隐私数据暴露在互联网。根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该企业警告，并处罚款五万元人民币，责令限期改正。
案件二：
北京市公安局朝阳分局网安部门接市公安局网安总队通报，辖区某科技公司存在数据泄露隐患，经查，该科技公司一款APP产品后台存储的客户姓名、手机号、微信账号、邮箱等信息46万余条数据被暴露在互联网上，该数据一旦被非法分子获取，将导致大量公民个人信息泄露，给广大人民群众个人合法权益造成庞大影响。根据《数据安全法》第二十七条、第四十五条第一款之规定，给予该科技公司警告的行政处罚。
~
网络安全学习，我们一起交换
~

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告