保密安全|盘点2021年度国内网络安全事件
近年来,以云计算、大数据、人工智能、物联网为代表的新兴技术的快速发展,网络安全风险全面泛化,复杂程度也在不断加深。特别是随着新冠肺炎疫情的蔓延,在加速企业数字化转型的进程的同时,也让网络安全风险开始遍布在越来越多的场景之中。
网络安全问题日趋严峻,各地发生多起重大网络安全事件,既有公民信息遭泄露,也发生多起因为遭遇勒索软件攻击而被迫停工停产事件。今天盘点下在过去的2021年国内发生的网络安全事件!
1月
(一)数据泄露事件
1、疑似超2亿国内个人信息在国外暗网论坛兜售
1月5日,国外安全研究团队Cyble发现多个帖子正在出售与中国公民有关的个人数据,经分析可能来自微博、QQ等多个社交媒体,本次发现的几个帖子中与中国公民有关的记录总数超过2亿。其中还发现了大量湖北省“公安县”的公民数据。
其中一个帖子,威胁者公布了公安县999名中国公民的户口登记样本数据,以作为黑客攻击的证据。并表示共有730万中国公民的数据可供出售,包括身份证,性别,姓名,出生日期,手机号,地址和邮编等记录。
2、全国首例适用民法典的个人信息保护案宣判
1月8日,杭州互联网法院公开审理并宣判全国首例适用民法典的个人信息保护案。被告孙某未经他人许可,在互联网上公然非法买卖、提供个人信息4万余条,导致相关人员信息长期面临受侵害风险,被判处赔偿违法所得34000元,并公开道歉。
3、国内某银行疑似发生数据泄露高达1679万条
1月8日,有人在某国外论坛中发帖售卖国内某银行1679万笔数据,并放出部分数据样本,数据包括名字、性别、卡号、身份证号、手机号码、所在城市、联系地址、工作单位、邮编、工作电话、住宅电话、卡种、发卡行等等。
4、为拿回扣泄露3万条客户信息,建行某客户经理被判刑
湛江银保监分局于2021年1月8日开出两张罚单,剑指建设银行湛江市分行存客户信息安全管理不到位的违规行为,对该行作出罚款20万元的行政处罚。此外,涉事人王某因泄露客户信息,被禁止从事银行业工作1年。
裁判文书以及相应罚单显示,2017年至2018年期间,王某将共计31465条客户信息出售至贷款公司,获利3.6万。而上述信息则被相关贷款公司用于拨打电话并推销贷款业务信息,从事不正当竞争。最终,王某被法院判处有期徒刑八个月。而王某所在的建行湛江分行也因信息安全管理不到位被罚20万。
5、网贷公司侵犯个人信息被罚320万
1月15日,中国裁判文书网公布一份判决书,北京智借公司、贤某某等在未取得受害人同意的情况下,向下游多家公司出售包含姓名、身份证号、手机号等个人信息,因犯侵犯公民个人信息罪,被判处罚金320万元。买房涉及平安普惠、拍拍贷、你我贷等多家知名公司。
6、中国初创公司Socialarks泄露400GB数据,影响全球2亿多用户
安全公司Safety Detectives发现,中国初创公司Socialarks(笨鸟社交)泄露了400GB数据。此次数据泄露是由于ElasticSearch数据库设置错误,泄露了总计408GB,超过3.18亿条用户记录,涉及到11651162个Instagram用户、66117839个领英用户和81551567个Facebook用户。值得注意的是,Socialarks在2020年8月也发生了类似的事件,泄露了1.5亿个用户的个人数据。
7、镇江丹阳30人贩卖6亿条个人信息获利800余万
1月24日,镇江丹阳警方侦破一起公安部督办的侵犯公民个人信息案,涉及10多个省市,抓获犯罪嫌疑人30名。该团伙采用境外聊天工具和区块链虚拟货币收付款,共贩卖个人信息6亿余条,违法所得800余万元。
8、农行因数据安全、网络安全被罚
1月29日,银保监会开出2021年第一张罚单,中国农业银行因涉及发生重要信息系统突发事件未报告、农行因发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,被罚420万人民币。
9、央视曝App偷听隐私语音发出后录音还在继续
1月31日,央视节目中专家用模拟“App偷听测试程序”发送一个2秒的语音,当手松开后,录音仍在继续,并生成一条120秒的语音,证实了当测试程序置于前台运行时,偷听是可以实现的。此外经过对比实验,发现在测试程序退至后台或在手机锁屏时,录音依然可持续一段时间。
(二)网络攻击事件
1、多个行业感染incaseformat病毒
1月13日,国内多家安全厂商检测到蠕虫病毒incaseformat在国内大范围爆发,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,对用户造成不可挽回的损失。
2月
(一)网络攻击事件
1、针对农信社和城商行的短信钓鱼攻击
自春节起,全国多地市连续发生通过群发短信方式,以手机银行失效或过期等为由,诱骗客户点击钓鱼网站链接而盗取资金的安全事件。天际友盟检测发现大批钓鱼网站在2月9日后被注册并陆续投入使用,钓鱼网站域名为农信社、城商行等金融机构客服电话+字母,或与金融机构网站相似域名的形式,多为境外域名注册商注册并托管。
3月
(一)数据泄露事件
1、 西山居旗下逍遥网遭攻击致数据泄露
3月2日,西山居游戏发公告称,西山居旗下产品屡遭不法分子DDos攻击、服务器入侵,导致部分用户账号和加密后的非明文密码等信息外泄,官方建议第一时间修改安全等级偏低的短位密码。
2、全国首例利用微信清粉软件获取个人信息案宣判
3月3日,南通通州公安对全国首例利用微信“清粉”软件非法获取微信用户信息案进行宣判。被害用户扫描“清粉”二维码为了给微信通讯录“瘦身”,不料个人信息泄露。八名被告人则以刷阅读量、售卖微信群聊二维码等方式非法获利200多万元。
3、315曝光人脸信息滥用、简历泄露等乱象
3月15日,央视315曝光三个涉及个人信息安全案例:商家安装摄像头捕捉记录顾客人脸信息,多门店共享并进行综合报价;智联招聘、猎聘等平台简历给钱就可随意下载,大量简历流入黑市;许多针对老年人开发的手机清理App背地里不断获取手机信息,并推送带有欺骗套路的内容。
4、中信银行因泄露客户信息被罚450万元
3月19日,银保监会消保局公布的罚单显示中信银行因“未经客户本人授权查询并向第三方提供其个人银行账户交易信息”,被重罚450万元。有消息称,该罚单疑似为2020年5月,脱口秀艺人池子举报中信银行违规私自对外提供其银行流水信息事件的处罚结果。
5、 中国台湾PC制造厂商宏碁遭到黑客入侵被勒索赎金5000万美元,赎金约合人民币3.25亿元创下最高纪录
3月,REvil勒索软件团伙在其数据泄露站点上宣布他们已经成功入侵宏碁的系统,并同时公布了几张作为证据的被盗文件截图。
在相关报道发布之后,LegMagIT的Valery Marchive发现了此次宏碁攻击事件中使用的REvil勒索软件样本,可以看到威胁方开出的赎金高达5000万美元。
不久之后,有关企业也找到了这份样本,并根据赎金记录与双方沟通内容确认了该样本确实来自宏碁遇袭事件。
4月
(一)数据泄露事件
1、 中国台湾广达电脑公司遭黑客入侵遭到勒索
4月,REvil团伙称,他们已经成功入侵台湾广达电脑公司。作为全球规模最大的笔记本电脑代工商之一,广达电脑参与到苹果官方产品的设计与组装流程当中,最终导致苹果产品数据及设计图落入攻击者手中。
遵循勒索活动的一贯套路,REvil团伙在在某暗网门户网站上发表帖子,表示广达电脑拒绝赎回这批失窃数据,因此REvil决定转而将矛头指向信息内容涉及的各家主要客户。Evil团伙共发布了21张Macbook产品设计图,并威胁除非苹果或广达电脑支付赎金,否则他们将每天披露更多新数据。
5月
(一)数据泄露事件
1、 “优大人”爬取淘宝直播数据案【(2021)沪****刑初148号】
上海益采信息技术有限公司是一家业务内小有知名度的公司,成立于2009年,但就在2021年5月,上海市徐汇区法院,判决公司的创始人李某构成非法获取计算机信息系统数据罪,主要理由为,该公司未经淘宝(中国)软件有限公司授权许可的情况下,由被告人李某决策通过非法手段抓取淘宝直播数据,并通过益采公司开发的“优大人”小程序出售牟利。在李某的授意下,益采公司部门负责人被告人王某、高某等人分工合作,以使用IP代理、“X-sign”签名算法等手段突破、绕过淘宝公司的防护机制,再通过数据抓取程序(俗称“爬虫”)大量抓取淘宝公司存储的各主播在淘宝直播时的开播地址、销售额、观看PV、UV等数据。
2、建行某员工因泄露、出售公民个人信息触犯刑法,行政处罚30万
5月份建设银行建德支行因员工违规查询、泄露客户信息以及未按规定报送涉刑案件(风险)信息,被罚30万,徐驰作为员工违规查询、泄露客户信息违规行为的直接责任人被罚禁止从事银行业工作5年。
(二)网络攻击事件
1、 澳门卫生局电脑系统遭恶意攻击
中新社澳门5月7日电,澳门特区政府卫生局公布,7日上午约10时30分,发现电脑系统遭到恶意网络攻击,影响健康码、医疗券、新冠病毒疫苗和核酸检测等系统的正常运作。经卫生局与澳门电讯有限公司紧急抢修后,所有电脑系统现已恢复正常。
卫生局表示,发现问题时,已实时启动应变方案,立即进行系统抢修,同时通知各口岸临时改用粤康码通关,进入医疗场所改用纸质健康码等。
6月
(一)数据泄露事件
1、2021年6月17日淘宝近12亿条用户数据遭泄露
2021年6月17日消息,商丘市睢阳区人民法院在裁判文书网,公开了一份刑事判决书,显示一名住在河南商丘市的本科毕业的大学生逯某自2019年11月起,对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有1180738048条用户信息泄露。
2、员工非法查询、泄露客户账户交易信息,农行一分支机构被罚20万
6月24日,中国银保监会阜阳监管分局发布的行政处罚信息显示,中国农业银行股份有限公司太和旧县分理处因员工非法查询、泄露客户账户交易信息,被处罚款20万元。时任中国农业银行股份有限公司太和旧县分理处内勤主管刘杰、分理处副主任杨柳也因负直接责任被给予警告的处罚。
7月
(一)数据泄露事件
1、2021年7月2日滴滴事件
7月2日,国家网信办发布公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。7月4日晚,国家网信办发布通报称,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”App。
(二)网络攻击事件
1、 西安市首例破坏医院计算机信息系统案
中新网西安7月29日电,29日从西安市公安局莲湖分局获悉,公安莲湖分局近日成功侦破一起黑客类网络攻击犯罪案件,抓获犯罪嫌疑人1名,查获作案用电脑1台、手机1部、硬盘1个。该案是公安莲湖分局侦破的首例破坏医院计算机信息系统案。
2021年5月15日,莲湖区某医院负责人报案称,自2021年3月起,该院网络系统持续出现故障,导医台、诊室系统等网络设备无法正常联网,医院诊疗秩序受到破坏。经院方网络工程师初步排查,医院网络系统重要文件疑似被人为更改,诊疗系统全面瘫痪。
经审查,犯罪嫌疑人白某某系该院前网络系统管理员,因对院方不满萌生报复心理,遂利用自学网络知识,非法入侵医院内网服务器,远程进行破坏性操作。犯罪嫌疑人白某某对其破坏计算机系统的犯罪事实供认不讳。
8月
(一)数据泄露事件
1、2021年8月23日阿里云用户数据被泄露
8月23日,阿里云用户注册信息泄露事件引发广泛关注和热议。对此,浙江省通信管理局回应称已责令改正;而阿里云称系一名电销员工违反公司纪律透露给分销商员工,已严肃处理、积极整改。
阿里云的信息泄露事件或将引发用户对阿里集团信息安全问题的担忧。对此,有律师表示责任人该行为除了要负行政责任、民事责任外,还有可能涉嫌侵害公民个人信息罪的刑事责任。
2、中国台湾电脑巨头技嘉遭勒索软件攻击,上百GB数据失窃
中国台湾计算机硬件供应商技嘉遭遇RansomExx勒索软件攻击,黑客一方表示除非受害者接受他们提出的赎金要求,否则会将超过112GB签署保密协议的商业数据发布在暗网之上,涉及英特尔、AMD等合作伙伴。作为一家以高性能主板而闻名的硬件厂商,技嘉公司位于台湾的系统被迫关闭,多个网站受到影响。一位发言人表示,此次攻击并未影响技嘉的生产系统。只有台湾总部的几台内部服务器遭到入侵,而且目前已经被关闭和隔离。
9月
(一)数据泄露事件
1、小鹏汽车擅自采集上传43万张人脸照片,被罚10万元
据行政处罚决定书显示,上海小鹏汽车销售服务有限公司购买了具有人脸识别功能的摄像设备22台,全部安装在旗下门店,涉及5个直营店及2个加盟店,开通系统账号8个,2021年1月至6月期间,共计采集上传人脸照片431623张。通过算法对面部数据进行识别计算,以此进行门店的客流统计和客流分析,包括进店人数统计、男女比例、年龄分析等。采集消费者面部识别数据,并未经得消费者同意,也无明示、告知消费者收集、使用目的。截至案发,上海小鹏汽车销售服务有限公司已拆除上述门店内的人脸识别摄像设备,上传的人脸照片已进行删除。
徐汇区市场监督管理局向上海小鹏汽车销售服务有限公司送达《行政处罚听证告知书》后,该公司于2021年9月28日向徐汇区市场监督管理局提出听证申请。经听证,鉴于上海小鹏汽车销售服务有限公司具有符合《中华人民共和国行政处罚法》规定的主动消除或者减轻违法行为危害后果的情形,根据《中华人民共和国行政处罚法》第三十二条的相关规定,应在原处罚裁量基础上从轻处罚。
10月
暂未统计到!
11月
(一)数据泄露事件
1、2021年11月19日国家保密局发文警惕工作群
国家保密局发文《微信泄密又出新案例:赶紧筛查工作群》,指出:任何情况下,以泄露国家秘密为代价推进业务工作都是万万要不得的。
如果业务工作是100分,保密工作是1分,那么100减1并不等于99,而只能是0。文章列举了3个由于微信群办公导致近年来失泄密案件(工作群下达紧急任务、同学群炫耀政策密件、老乡群扩散密码电报),明确提出:不使用微信群办公。党政机关、国企央企纷纷解散微信工作群。
2、青岛夫妻唱双簧倒卖股民信息近4万条,被公益诉讼追偿
夫妻唱双簧倒卖股民信息近4万条,致众多公民个人信息被泄露,社会公共利益受到损害,买卖房三人再被公益诉讼追偿。11月23日,青岛市人民检察院提起的青岛首起侵犯公民个人信息民事公益诉讼案开庭,法院庭审后将择日宣判。
12月
(一)数据泄露事件
1、世纪佳缘员工滥用职权查阅用户信息
世纪佳缘通过后台可以随意查看会员的个人信息,包括会员浏览的异性照片记录,以及发送的所有聊天记录。12月7日,世纪佳缘通过其官方微博发布致歉声明,回应“一线下门店会员个人隐私信息在后台裸奔”等问题。同日稍早,澎湃新闻发布调查报道,指出世纪佳缘通过后台可以随意查看会员的个人信息,包括会员浏览的异性照片记录,以及发送的所有聊天记录。
致歉声明称,“实际工作中出现了滥用职权查阅用户信息的严重违规行为”,已第一时间成立专项工作小组,已经在对报道中反映的问题进行核查,已经在后台开始去除此功能。
(二)网络攻击事件
1、2021年12月9日晚,Apache Log4j2高危JNDI注入漏洞曝光
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。ApacheLog4j2是一个用于Java的日志记录库,其支持启动远程日志服务器。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,目前已经更新到2.16.0。该漏洞被命名为Log4Shell,编号CVE-2021-44228。
原标题:《保密安全|盘点2021年度国内网络安全事件》