2021年第一季度网络安全大事件(国内篇)
2021年开局,国内已曝光多起数据泄露事件,针对用户个人信息的保护依然是顽疾。好消息是,《个人信息保护法》草案已经提请审议,工信部针对侵害用户权益的App已展开大力专项整治。以下为安全419整理汇总的第一季度国内网络安全大事件。
数据泄露事件
疑似超2亿国内个人信息在国外暗网论坛兜售
1月5日,国外安全研究团队Cyble发现多个帖子正在出售与中国公民有关的个人数据,经分析可能来自微博、QQ等多个社交媒体,本次发现的几个帖子中与中国公民有关的记录总数超过2亿。
全国首例适用民法典的个人信息保护案宣判
1月8日,杭州互联网法院公开审理并宣判全国首例适用民法典的个人信息保护案。被告孙某未经他人许可,在互联网上公然非法买卖、提供个人信息4万余条,导致相关人员信息长期面临受侵害风险,被判处赔偿违法所得34000元,并公开道歉。
国内某银行疑似发生数据泄露 高达1679万条
1月8日,有人在某国外论坛中发帖售卖国内某银行1679万笔数据,并放出部分数据样本,数据包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等。
网贷公司侵犯个人信息被罚320万
1月15日,中国裁判文书网公布一份判决书,北京智借公司、贤某某等在未取得受害人同意的情况下,向下游多家公司出售包含姓名、身份证号、手机号等个人信息,因犯侵犯公民个人信息罪,被判处罚金320万元。买方涉及平安普惠、拍拍贷、你我贷等多家知名公司。
30人贩卖6亿条个人信息获利800余万
1月24日,镇江丹阳警方侦破一起公安部督办的侵犯公民个人信息案,涉及10多个省市,抓获犯罪嫌疑人30名。该团伙采用境外聊天工具和区块链虚拟货币收付款,共贩卖个人信息6亿余条,违法所得800余万元。
央视曝App偷听隐私 语音发出后录音还在继续
1月31日,央视节目中专家用模拟“App偷听测试程序”发送一个2秒的语音,当手松开后,录音仍在继续,并生成一条120秒的语音,证实了当测试程序置于前台运行时,偷听是可以实现的。此外经过对比实验,发现在测试程序退至后台或在手机锁屏时,录音依然可持续一段时间。
西山居旗下逍遥网遭攻击致数据泄露
3月2日,西山居游戏发公告称,西山居旗下产品屡遭不法分子DDos攻击、服务器入侵,导致部分用户账号和加密后的非明文密码等信息外泄,官方建议第一时间修改安全等级偏低的短位密码。
全国首例利用微信清粉软件获取用户信息案宣判
3月3日,南通通州公安对全国首例利用微信“清粉”软件非法获取微信用户信息案进行宣判。被害用户扫描“清粉”二维码为了给微信通讯录“瘦身”,不料个人信息泄露。八名被告人则以刷阅读量、售卖微信群聊二维码等方式非法获利200多万元。
315曝光人脸信息滥用、简历泄露等乱象
3月15日,央视315曝光三个涉及个人信息安全案例:商家安装摄像头捕捉记录顾客人脸信息,多门店共享并进行综合报价;智联招聘、猎聘等平台简历给钱就可随意下载,大量简历流入黑市;许多针对老年人开发的手机清理App背地里不断获取手机信息,并推送带有欺骗套路的内容。
中信银行因泄露客户信息被罚450万元
3月19日,银保监会消保局公布的罚单显示中信银行被处以450万元罚款。有消息称,该罚单疑似为2020年5月,脱口秀艺人池子举报中信银行违规私自对外提供其银行流水信息事件的处罚结果。
网络攻击事件
多个行业感染incaseformat病毒
1月13日,国内多家安全厂商检测到蠕虫病毒incaseformat在国内大范围爆发,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,对用户造成不可挽回的损失。
针对农信社和城商行的短信钓鱼攻击
自春节起,全国多地市连续发生通过群发短信方式,以手机银行失效或过期等为由,诱骗客户点击钓鱼网站链接而盗取资金的安全事件。天际友盟检测发现大批钓鱼网站在2月9日后被注册并陆续投入使用,钓鱼网站域名为农信社、城商行等金融机构客服电话+字母,或与金融机构网站相似域名的形式,这些域名多为境外域名注册商注册并托管。
春节期间DDoS攻击事件激增
2月22日,奇安信羲和实验室发布春节期间DDoS攻击报告,报告显示,春节期间奇安信星迹DDoS观测系统累计观测到反射放大DDoS 攻击事件 65912 个,涉及被攻击 IP 57096 个。与春节前一周相比,DDoS 攻击事件数增加约 25%,被攻击 IP 数增加 37%。
App侵害用户权益专项整治行动
针对App侵害用户隐私安全的问题,工信部已建立全国App技术检测平台,对国内上架的热门App进行技术检测。如果App不符合规定,会先要求其整改。整改后仍不通过或未按照要求整改的App,直接进行下架处理。
● 1月19日,工信部下架12款App,包括学宝、红人直播等,涉及违规收集用户信息、过度索取用户权限、欺骗误导用户下载问题。(2020年12月21日,工信部通报63款违规App,此12款未按照要求完成整改)
● 1月22日,工信部通报2021年第一批157款侵害用户权益行为APP,包括芒果TV、永辉生活、花椒等,涉及违规收集个人信息、强制频繁过度索取权限、强制用户使用定向推送等问题。2月3日,工信部下架其中未完成整改的37款App,艺龙酒店、东风出行、易企秀等均在其中。
● 2月5日,工信部通报2021年第二批26款App存在违规行为,包括QQ输入法、UC浏览器、墨迹天气等,涉及违规收集个人信息、过度索取权限、欺骗误导用户下载等问题。2月10日,10款未完成整改的App被下架,包括小智同学、声吧、kk键盘等。
● 3月12日,工信部通报2021年第三批136款侵害用户权益行为App,包括猎豹清理大师、悦跑圈、天涯社区等,涉及频繁自启动和关联启动、违规收集使用个人信息等问题。
● 3月16日,工信部严厉查处315晚会曝光“APP违规收集老年人个人信息”违规行为,要求主要应用商店下架内存优化大师、智能清理大师、超强清理大师、手机管家pro四款App。
#我们同样欢迎热爱文字且热衷于推动网络安全产业发展的您为我们提供优质内容,期待您的参与!投稿邮箱:tg@anquan419.com