近段時間以來,全國網信系統認真貫徹落實《網絡安全法》《數據安全法》《個人信息保護法》《網絡數據安全管理條例》等法律法規,持續加大網絡安全、數據安全、個人信息保護相關執法工作力度,各地網信部門依法查處一批涉網頁篡改、數據泄露、違法違規處理個人信息、新技術新應用未經評估上線等違法違規案件。現將典型案例發布如下。
1.廣東某科技股份有限公司網頁篡改案。網信部門工作發現,該企業用于業務審批等的辦公協作平臺登錄頁面被篡改為違法有害內容。經查,該企業涉事系統存在任意文件上傳漏洞,遭受勒索軟件攻擊,該企業當天發現后僅重裝系統,未修復系統漏洞。其后,攻擊者利用該漏洞上傳遠程控制木馬,將登錄頁面篡改為違法有害內容。該企業未依法履行網絡安全保護義務,未采取必要技術措施保障網絡安全,未及時修復系統漏洞,造成網頁篡改后果,違反《網絡安全法》相關規定。屬地網信辦已依法責令其改正,并予以警告、罰款處罰。
2.新疆某互聯網科技有限公司網頁篡改案。網信部門工作發現,該企業門戶網站及開發運維的8個網站子頁面被篡改為涉賭違法信息。經查,該企業上述網站存在安全缺陷和漏洞,相關網頁源代碼php文件被惡意篡改,出現涉賭違法信息。事件發生時,網站管理員休假不在崗,網站處于無人管理狀態。該企業作為網絡產品、服務提供者,未及時發現其開發的網站存在安全缺陷和漏洞,未立即采取補救措施,未按照規定及時告知用戶并向主管部門報告,違反《網絡安全法》相關規定,屬地網信辦已依法責令其改正,并予以警告處罰。
3.山東某醫學檢驗有限公司數據泄露案。網信部門工作發現,該企業某系統相關數據被搜索引擎爬蟲爬取。經查,涉事系統開啟目錄瀏覽功能,存在目錄遍歷和未授權訪問漏洞,未正確配置防火墻入侵防護策略,未按照規定留存相關網絡日志。相關搜索引擎爬蟲通過遍歷請求爬取了網站組織架構和文件,導致系統相關數據泄露。該企業未依法履行網絡安全、數據安全保護義務,涉事系統未依法留存相關網絡日志,未采取技術措施和其他必要措施保障數據安全,造成數據泄露后果,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,并予以警告、罰款處罰。
4.浙江某科技股份有限公司數據被竊取案。網信部門工作發現,該企業FTP系統相關數據被竊取。經查,該企業為方便共享、打印系統文件,將涉事系統設置為允許匿名訪問,并設置云服務器安全組規則不生效,長期存在未授權訪問漏洞,導致涉事系統相關數據被竊取。該企業未依法履行網絡安全、數據安全保護義務,涉事系統未采取技術措施和其他必要措施保障數據安全,造成數據被竊取后果,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,并予以警告、罰款處罰。
5.重慶某科技公司數據被竊取案。網信部門工作發現,該企業用于汽車租賃服務的“OA信息系統”相關數據被竊取。經查,該企業涉事系統3306端口開放MySQL數據庫服務,未設置用戶密碼,存在弱口令漏洞,導致涉事系統相關數據被先后竊取159次。該企業未依法履行網絡安全、數據安全保護義務,涉事系統未采取技術措施和其他必要措施保障數據安全,造成數據被竊取后果,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,并予以警告、罰款處罰。
6.廣東某保險代理有限公司數據被竊取案。網信部門工作發現,該企業提供保險代理服務的后臺系統相關數據被竊取。經查,該企業涉事系統存在越權遍歷訪問漏洞,攻擊者可通過遍歷URL ID的方式批量獲取數據,且該企業購買的云防火墻服務已過期,未按照規定留存相關網絡日志,導致涉事系統相關數據被竊取。該企業未依法履行網絡安全、數據安全保護義務,涉事系統未依法留存相關網絡日志,未采取技術措施和其他必要措施保障數據安全,造成數據被竊取后果,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,并予以警告、罰款處罰。
7.湖南某科技股份有限公司數據存在泄露安全風險案。網信部門工作發現,該企業內網數據庫相關數據存在泄露安全風險。經查,該企業內網數據庫存在未授權訪問漏洞和弱口令漏洞,某軟件研發工程師為工作便利,將合作項目中掌握的大量用戶數據拷貝至企業內網數據庫,并打開企業內網的公共互聯網訪問端口,導致內網數據庫相關數據暴露在互聯網上。該企業未依法履行網絡安全、數據安全保護義務,未建立網絡安全和數據安全管理制度,涉事系統未采取技術措施和其他必要措施保障數據安全,存在數據泄露安全風險,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,并予以警告、罰款處罰。
8.北京某科技有限公司運營的App超范圍收集個人信息案。網信部門工作發現,該企業運營的App違反必要原則,收集與其提供的服務無關的個人信息。經查,該企業開發的App在用戶未使用任何功能情況下,后臺運行時收集上傳用戶應用程序安裝、卸載信息。用戶使用上傳AI頭像等功能時,調用非必要存儲權限。相關行為超出了實現個人信息處理目的最小必要范圍,違反《網絡安全法》《個人信息保護法》《網絡數據安全管理條例》等法律法規。屬地網信辦已依法責令其改正,并予以警告、罰款處罰。
9.上海某科技有限公司違法違規收集人臉信息案。網信部門工作發現,該企業運營的自動售貨機存在違法違規收集人臉信息等問題。經查,該企業運營的自動售貨機在用戶支付環節存在未經同意收集人臉信息等問題,同時該企業存在未建立個人信息保護影響評估制度、相關系統存在SQL注入高危漏洞等問題,違反《網絡安全法》《個人信息保護法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,并予以警告處罰。
10.浙江某科技有限責任公司運營的App提供深度合成服務未按規定進行安全評估案。網信部門工作發現,該企業運營的App提供AI換臉服務未按規定進行安全評估。經查,該企業運營的App是一款深度合成類服務產品,提供視頻換臉、圖片換臉、照片舞動配音等圖片處理功能,用戶可對上傳圖片、視頻中的人物進行換臉,但未按規定落實安全評估要求,相關深度合成內容也未作顯著標識,存在較大安全風險,違反《互聯網信息服務深度合成管理規定》《生成式人工智能服務管理暫行辦法》《互聯網信息服務算法推薦管理規定》《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》等規定。網信部門已依法責令移動應用程序分發平臺依規依約對該App予以下架處置。
國家網信辦有關負責人表示,網絡空間已經成為人們生產生活的新空間,讓互聯網在法治軌道上健康運行是全社會的共同責任。網信部門將認真貫徹習近平新時代中國特色社會主義思想,特別是習近平法治思想和習近平總書記關于網絡強國的重要思想,深入推進依法治網,依法查處相關違法違規行為,切實維護國家網絡安全、數據安全,保護人民群眾合法權益。
微信公眾號截圖
(責任編輯:梁艷)
晉公網安備 14090202000008號 
