近段時間以來��,全國網信系統(tǒng)認真貫徹落實《網絡安全法》《數據安全法》《個人信息保護法》《網絡數據安全管理條例》等法律法規(guī)�,持續(xù)加大網絡安全、數據安全�、個人信息保護相關執(zhí)法工作力度,各地網信部門依法查處一批涉網頁篡改�、數據泄露、違法違規(guī)處理個人信息����、新技術新應用未經評估上線等違法違規(guī)案件。現將典型案例發(fā)布如下���。
1.廣東某科技股份有限公司網頁篡改案���。網信部門工作發(fā)現,該企業(yè)用于業(yè)務審批等的辦公協(xié)作平臺登錄頁面被篡改為違法有害內容。經查�,該企業(yè)涉事系統(tǒng)存在任意文件上傳漏洞,遭受勒索軟件攻擊����,該企業(yè)當天發(fā)現后僅重裝系統(tǒng),未修復系統(tǒng)漏洞����。其后,攻擊者利用該漏洞上傳遠程控制木馬�,將登錄頁面篡改為違法有害內容。該企業(yè)未依法履行網絡安全保護義務�����,未采取必要技術措施保障網絡安全�����,未及時修復系統(tǒng)漏洞�����,造成網頁篡改后果��,違反《網絡安全法》相關規(guī)定�����。屬地網信辦已依法責令其改正����,并予以警告、罰款處罰��。
2.新疆某互聯(lián)網科技有限公司網頁篡改案����。網信部門工作發(fā)現,該企業(yè)門戶網站及開發(fā)運維的8個網站子頁面被篡改為涉賭違法信息����。經查,該企業(yè)上述網站存在安全缺陷和漏洞���,相關網頁源代碼php文件被惡意篡改�,出現涉賭違法信息��。事件發(fā)生時����,網站管理員休假不在崗����,網站處于無人管理狀態(tài)�����。該企業(yè)作為網絡產品�����、服務提供者����,未及時發(fā)現其開發(fā)的網站存在安全缺陷和漏洞,未立即采取補救措施�����,未按照規(guī)定及時告知用戶并向主管部門報告��,違反《網絡安全法》相關規(guī)定���,屬地網信辦已依法責令其改正,并予以警告處罰。
3.山東某醫(yī)學檢驗有限公司數據泄露案�����。網信部門工作發(fā)現��,該企業(yè)某系統(tǒng)相關數據被搜索引擎爬蟲爬取���。經查����,涉事系統(tǒng)開啟目錄瀏覽功能���,存在目錄遍歷和未授權訪問漏洞��,未正確配置防火墻入侵防護策略���,未按照規(guī)定留存相關網絡日志。相關搜索引擎爬蟲通過遍歷請求爬取了網站組織架構和文件����,導致系統(tǒng)相關數據泄露。該企業(yè)未依法履行網絡安全��、數據安全保護義務,涉事系統(tǒng)未依法留存相關網絡日志���,未采取技術措施和其他必要措施保障數據安全�,造成數據泄露后果�����,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規(guī)規(guī)定���。屬地網信辦已依法責令其改正�,并予以警告��、罰款處罰��。
4.浙江某科技股份有限公司數據被竊取案�����。網信部門工作發(fā)現�,該企業(yè)FTP系統(tǒng)相關數據被竊取。經查�����,該企業(yè)為方便共享�、打印系統(tǒng)文件,將涉事系統(tǒng)設置為允許匿名訪問����,并設置云服務器安全組規(guī)則不生效,長期存在未授權訪問漏洞�,導致涉事系統(tǒng)相關數據被竊取。該企業(yè)未依法履行網絡安全���、數據安全保護義務���,涉事系統(tǒng)未采取技術措施和其他必要措施保障數據安全,造成數據被竊取后果�����,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規(guī)規(guī)定�����。屬地網信辦已依法責令其改正�����,并予以警告、罰款處罰�����。
5.重慶某科技公司數據被竊取案��。網信部門工作發(fā)現����,該企業(yè)用于汽車租賃服務的“OA信息系統(tǒng)”相關數據被竊取。經查�,該企業(yè)涉事系統(tǒng)3306端口開放MySQL數據庫服務,未設置用戶密碼��,存在弱口令漏洞�����,導致涉事系統(tǒng)相關數據被先后竊取159次����。該企業(yè)未依法履行網絡安全、數據安全保護義務�,涉事系統(tǒng)未采取技術措施和其他必要措施保障數據安全,造成數據被竊取后果����,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規(guī)規(guī)定。屬地網信辦已依法責令其改正���,并予以警告�、罰款處罰���。
6.廣東某保險代理有限公司數據被竊取案�����。網信部門工作發(fā)現����,該企業(yè)提供保險代理服務的后臺系統(tǒng)相關數據被竊取�����。經查���,該企業(yè)涉事系統(tǒng)存在越權遍歷訪問漏洞����,攻擊者可通過遍歷URL ID的方式批量獲取數據,且該企業(yè)購買的云防火墻服務已過期��,未按照規(guī)定留存相關網絡日志����,導致涉事系統(tǒng)相關數據被竊取。該企業(yè)未依法履行網絡安全��、數據安全保護義務��,涉事系統(tǒng)未依法留存相關網絡日志����,未采取技術措施和其他必要措施保障數據安全,造成數據被竊取后果�����,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規(guī)規(guī)定�����。屬地網信辦已依法責令其改正�����,并予以警告、罰款處罰��。
7.湖南某科技股份有限公司數據存在泄露安全風險案�����。網信部門工作發(fā)現��,該企業(yè)內網數據庫相關數據存在泄露安全風險���。經查,該企業(yè)內網數據庫存在未授權訪問漏洞和弱口令漏洞����,某軟件研發(fā)工程師為工作便利,將合作項目中掌握的大量用戶數據拷貝至企業(yè)內網數據庫��,并打開企業(yè)內網的公共互聯(lián)網訪問端口�,導致內網數據庫相關數據暴露在互聯(lián)網上。該企業(yè)未依法履行網絡安全���、數據安全保護義務���,未建立網絡安全和數據安全管理制度��,涉事系統(tǒng)未采取技術措施和其他必要措施保障數據安全��,存在數據泄露安全風險���,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規(guī)規(guī)定。屬地網信辦已依法責令其改正��,并予以警告�����、罰款處罰���。
8.北京某科技有限公司運營的App超范圍收集個人信息案�。網信部門工作發(fā)現���,該企業(yè)運營的App違反必要原則���,收集與其提供的服務無關的個人信息。經查�,該企業(yè)開發(fā)的App在用戶未使用任何功能情況下,后臺運行時收集上傳用戶應用程序安裝、卸載信息�。用戶使用上傳AI頭像等功能時,調用非必要存儲權限���。相關行為超出了實現個人信息處理目的最小必要范圍����,違反《網絡安全法》《個人信息保護法》《網絡數據安全管理條例》等法律法規(guī)�����。屬地網信辦已依法責令其改正���,并予以警告、罰款處罰��。
9.上海某科技有限公司違法違規(guī)收集人臉信息案����。網信部門工作發(fā)現,該企業(yè)運營的自動售貨機存在違法違規(guī)收集人臉信息等問題�。經查,該企業(yè)運營的自動售貨機在用戶支付環(huán)節(jié)存在未經同意收集人臉信息等問題�����,同時該企業(yè)存在未建立個人信息保護影響評估制度、相關系統(tǒng)存在SQL注入高危漏洞等問題�����,違反《網絡安全法》《個人信息保護法》《網絡數據安全管理條例》等法律法規(guī)規(guī)定�����。屬地網信辦已依法責令其改正����,并予以警告處罰。
10.浙江某科技有限責任公司運營的App提供深度合成服務未按規(guī)定進行安全評估案���。網信部門工作發(fā)現��,該企業(yè)運營的App提供AI換臉服務未按規(guī)定進行安全評估��。經查����,該企業(yè)運營的App是一款深度合成類服務產品��,提供視頻換臉、圖片換臉����、照片舞動配音等圖片處理功能,用戶可對上傳圖片�����、視頻中的人物進行換臉�,但未按規(guī)定落實安全評估要求,相關深度合成內容也未作顯著標識����,存在較大安全風險,違反《互聯(lián)網信息服務深度合成管理規(guī)定》《生成式人工智能服務管理暫行辦法》《互聯(lián)網信息服務算法推薦管理規(guī)定》《具有輿論屬性或社會動員能力的互聯(lián)網信息服務安全評估規(guī)定》等規(guī)定�。網信部門已依法責令移動應用程序分發(fā)平臺依規(guī)依約對該App予以下架處置���。
(工人日報客戶端記者 楊召奎)
[責編:{getone name="zzc/mingzi"/}]
微信好友
朋友圈
