数据安全,可以说是近些年的热点,特别是随着大数据、人工智能等信息安全技术的快速发展,数据安全和隐私保护形势日益严峻,网络边界被打破,数据安全问题与日俱增,随之也面临着越来越严峻的考验。2023年数据泄漏事件还处于高发的态势。
明朝万达盘点了2023年在国内发生的重大数据安全及个人信息泄露相关事件和案例,供大家阅读。
45亿国内快递信息遭泄露
2月12日,Telegram查询机器人被爆泄露国内45亿条个人信息,最新的数据时间大概来自2022年,数据主要来自各快递平台以及淘宝、京东等购物网站,数据包含用户真实姓名、电话与住址等。据该机器人管理员提供的navicat截图显示,泄露的数据量超45亿条,数据库大小为435.35GB,几乎涵盖了全国用户的快递信息。
非法出售万份员工简历,男子因侵犯公民个人信息罪受刑罚
4月11日,北京市顺义区人民法院公开审理了一起非法出售员工简历案。据了解,于某和孙某共同在北京某人力资源公司任职,在2022年6月29日至7月15日期间,于某利用孙某的账号,从公司招聘系统内下载了包含个人信息的简历13000余份,通过将部分简历出售给他人,非法获利人民币1.64万元。
数据保护不力造成医院数据泄露,医院及第三方技术公司均被罚
6月,衡阳网信部门在数据安全领域开出首张“罚单”。衡南县某医院未履行数据安全保护义务,造成部分数据泄露,违反《中华人民共和国数据安全法》第二十九条规定。衡南县网信办在省、市网信办的指导下,对该医院作出责令整改,给予警告,并处罚款5万元的行政处罚。同时,对第三方技术公司及相关责任人处以1.2万元罚款。
中国银行福建分行因“违反个人金融信息保护规定”被罚179万
6月20日,根据人民银行福州中心支行发布的行政处罚信息显示,中国银行福建分行因存在“违反个人金融信息保护规定”“违反金融消费争议解决的相关规定”“涉诈账户管理不到位”等违法行为被警告,并被罚款179万元。
南昌某高校发生大量数据泄露案件,当地警方处以85万元罚款
8月,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。南昌公安网安部门对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
上海一政务信息系统技术服务公司因泄露公民个人信息被行政处罚
9月15日,上海市互联网信息办公室公布一起行政处罚案件。上海市某政府信息系统技术承包商违规将政务数据置于互联网测试期间,相关存储端存在高危漏洞,导致大量公民数据泄露,以致成为境外不法分子窃取政务数据的“供应链”入口,相关公民个人信息在境外黑客论坛被披露兜售。上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查,并对该公司作出行政处罚。
泰州某不动产登记中心北京某科技发展研究中心不履行数据安全保护义务案
9月,江苏泰州公安网安部门工作发现,当地某不动产登记中心的“业务练兵系统”存在Elasticsearch未授权访问安全漏洞,且未建立健全全流程数据安全管理制度,未落实有效的数据安全防护措施,可致该系统中存储的24万余条业务数据泄露,涉嫌未履行数据安全保护义务。泰州公安机关依据《数据安全法》第45条规定,对该不动产登记中心予以行政警告并责令改正;对该系统的建设运维单位北京某科技发展研究中心予以行政警告并处罚款5万元。
宿迁某医学检验机构不履行数据安全保护义务案
9月,江苏宿迁公安网安部门对当地某医学检验机构检查时发现,该机构运营的医学检验信息平台存在SQL注入漏洞、弱口令等网络安全隐患,且未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动开展风险监测和定期风险评估,可致敏感业务数据泄露,涉嫌未履行数据安全保护义务。依据《数据安全法》第45条规定,对该机构予以行政警告并处罚款10万元。
APP相关数据库在公网暴露,杭州某科技公司被罚5万元
据国家网信办移交的问题线索,浙江省网信办依法对杭州某科技公司未履行数据安全保护义务的问题进行立案调查。10月经查实,该公司旗下某生活类APP相关数据库服务端口直接暴露在互联网环境中,存在未授权访问漏洞,未按要求履行数据安全保护义务,违反《数据安全法》第二十七条之规定,浙江省网信办对该公司作出罚款5万元的行政处罚。
交管12123信息系统遭“黄牛党”入侵,非法操作数百次
10月,无锡江阴市检察院办理了一起破坏计算机信息系统案。10名犯罪嫌疑人均为二手车“黄牛”,他们通过非法手段,侵入交管“12123”系统,为不能正常过户的二手车,非法办理改绑手机号、补办行驶证、补办车牌等业务数百次,已经严重违反了国家规定,侵犯了个人隐私权和信息安全,被判定为非法侵入计算机信息系统罪和破坏计算机信息系统罪。
结语
对于企业而言,数据作为企业的重要资产,包括客户信息、财务数据、战略规划等重要信息,这些敏感性数据一旦发生泄露或被篡改都将对企业造成巨大的损失。
明朝万达数据安全专家认为:当前企业数据面临内部风险和外部攻击两种。从内部来看,员工的不当行为可能导致数据泄露,如员工泄露账户密码、未经授权下载敏感数据等。此外,员工的不当操作也可能导致数据的损坏或丢失,如错误地删除数据、格式化硬盘等操作都可能导致数据的永久丢失。
从外部来看,黑客攻击是企业面临的主要威胁之一。黑客可以通过各种途径入侵企业的网络系统,获取机密信息或者破坏企业的运营。此外,病毒和勒索软件等恶意软件也是企业常见的威胁。这些恶意软件可以通过邮件附件、不安全的网站等方式传播,一旦感染企业系统,可能会导致数据损坏、泄露或者数据被加密等问题。