数据安全与治理 | 盘点2022年网络安全领域数据泄露大事件
20
22
国内网络安全领域影响最大的数据泄露事件
1
蔚来汽车用户数据遭大量泄露
12月11日,蔚来汽车确认,因服务器配置错误导致百万条用户信息泄露,并遭受225万美元等额比特币的勒索。蔚来创始人、董事长、首席执行官李斌就数据泄露一事公开致歉。
▲图:李斌道歉
2
平安人寿泄露4万条公民信息
3
中国台湾2300万公民信息泄露
11月初,据台媒报道,中国台湾地区政府系统遭黑客入侵,黑客在国外论坛公开出售2300万中国台湾民众数据,打包价5000万美元。
4
国内医疗机构10万条数据遭窃取
10月,经国内网警侦破,麻某利用自身黑客技术,在2022年4月侵入国内某医疗机构微信公众号系统窃取数据,半年多时间非法获取该计算机系统数据10万余条,而后在境外黑客论坛兜售,非法获利1500美元。
5
香港3家香格里拉酒店29万客户信息泄露
10月初,据香港媒体报道,香格里拉酒店集团的网络系统受到黑客攻击,其中3家位于中国香港,造成香港酒店29万个人资料泄露。香港安全专家表示:通过技术分析,黑客可能通过传送电邮,在超链接中加入“钓鱼程式”,窃取酒店系统内的资料。
6
西工大邮件系统遭境外组织入侵
9月据官方通报,西工大被境外组织攻击事件,系美国国家安全局所为,该局针对西北工业大学的网络攻击,使用了41种不同的专属网络攻击武器,攻击链路多达1100余条,仅后门工具“狡诈异端犯”就有14款不同版本。持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
7
国内40多家金融机构数据被窃
9月,国内一“黑客”利用木马病毒非法控制逾2000台计算机,入侵40多家国内金融机构的内网交易数据库,非法获取交易指令和多条内幕信息,进行相关股票交易牟利,非法所得人民币183.57万元。
8
国内多家医院数据被窃
8月底,据北京市朝阳区人民检察院裁定,2020年至2021年,刘某、姜某某、吴某某在多家国内医院内,多次通过技术手段秘密接入医院内网数据库,获取大量药品编码、数量、金额、单位等药品数据后出售,违法所得人民币200余万元。
9
上海申码数据泄露,4850万居民信息存在泄露风险
8月,上海随申码数据库或泄露,4850万用户的数据,包括用户姓名、手机号码、身份证号、随申码的颜色、UUID(通用唯一识别码),在暗网以4000美元价格拍卖。
10
滴滴因严重影响国家安全的数据处理活动遭重罚
7月,国家互联网信息办公室依法对滴滴全球股份有限公司(以下简称“滴滴公司”)开出人民币80.26亿元的巨额罚款。经查实,滴滴公司共存在16项违法事实,包括违法收集用户手机相册中的截图信息1196.39万条、过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条等。此外,滴滴公司被发现存在严重影响国家安全的数据处理活动,给国家关键信息基础设施和数据安全带来严重风险隐患。
11
学习通1.7亿条用户数据疑被泄露 公安机关已介入调查
12
全国首例短视频平台网络“爬虫”案宣判
5月10日,全国首例短视频平台网络“爬虫”案宣判,2021年中,丁某以9800元购进汇易获客软件成为代理商,利用该软件可以入侵某些短视频平台的服务器,通过关键词搜索可以快速抓取平台信息,主要包括用户名、UID、签名及评论等,再通过软件把 UID 转换成二维码,来精准定位客户。丁某对该软件进行了重新包装,“改头换面”后对外销售,违法所得 2.4 万余元,被判处有期徒刑一年六个月,缓刑两年,并处罚金三万元。
13
首例!非法向境外出售我国高铁数据被逮捕!
4月,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。上海某信息科技公司销售总监王某等人在利益驱动下,非法收集、向境外公司提供涉及铁路GSM-R敏感信号等高铁数据。经国家安全机关调查,这家境外公司从事国际通信服务,但它长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。在数据时代,境外一些机构、组织和个人,针对我国重要领域敏感数据的情报窃密活动十分突出,给国家安全和经济社会发展造成了重大风险隐患。
14
国内上市公司邮箱系统被入侵,损失两千多万
3月29日,大亚圣象表示,全资子公司圣象集团有限公司下属子公司美国Home Legend LLC公司成为一起电信欺诈的受害者,肇事者入侵该公司租用的微软公司邮箱系统,伪造假电子邮件冒充该公司管理层成员,伪造供应商文件及邮件路径,实施诈骗,涉案金额约356.9万美元(约人民币2275.49万元)。
20
22
国家数据安全领域政策汇总
01
02
2022年1月12日,国务院发布《“十四五”数字经济发展规划》
《规划》部署了八项重点任务,在数字经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,并系统阐述了网络安全对于数字经济的独特作用及重要性。03
04
05
2022年2月15日,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行
《办法》以关键信息基础设施的供应链安全为核心,重点加强对数据安全的关注和规范,聚焦网络产品、服务及数据处理活动,助推关键信息基础设施与网络平台的高质量发展。06
07
数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。
08
2022年6月23日,国务院印发《关于加强数字政府建设的指导意见》
《意见》提出加强自主创新,加快数字政府建设领域关键核心技术攻关,强化安全可靠技术和产品应用,切实提高自主可控水平。9
2022年8月31日,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》
国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。
10
2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局发布《医疗卫生机构网络安全管理办法》
《办法》设立数据安全管理专章,要求医疗卫生机构应按照有关法律法规的规定,参照国家网络安全标准,履行数据安全保护义务。11
12
13
2022年10月28日,国务院办公厅印发《全国一体化政务大数据体系建设指南》
《指南》明确了“坚持整体协同、安全可控”的基本原则,提出“安全保障一体化”的任务,并强调该任务是“以‘数据’为安全保障的核心要素”,要“形成制度规范、技术防护和运行管理三位一体的全国一体化政务大数据安全保障体系”。14
15
总结
责编:岳青植
监制:李红梅
文章参考:
1、《观点 | 破解“数据泄露门”需要法治智慧》法治日报
2.《加强数据治理 守护数据安全》光明网
3.《【大咖谈 | 盘点2022】IDC赵卫京:数据安全防护体系建设刻不容缓》通信世界全媒体