盘点 | 2022年Q3数据安全及个人信息泄露大事记


2022年第三季度

数据安全与隐私泄露事件频发

公安机关开展百日行动大力打击个人信息犯罪

本文盘点了

全国数据安全及个人信息泄露事件

(内含山石网科数据安全治理妙招

【安全419】个人信息一旦泄露,很有可能被不法分子利用,如实施精准诈骗、擅自刷卡转账等,对个人财产安全等构成极大威胁。2022年第三季度,一方面数据安全与隐私泄露事件频发,另一方面公安机关开展百日行动大力打击了个人信息犯罪,维护广大人民群众隐私安全。

山石网科数据安全治理,有妙招

(戳文章标题,即可直接获取)

【理论前沿】:

【体系指导】:
【实践指南】:
安全419梳理盘点了第三季度在全国范围内发生或通报的,与数据安全、个人信息泄露相关的典型事件和案例,供大家阅读,防患于未然。以下为第三季度全国数据安全及个人信息泄露事件

与房产领域相关的个人信息泄露频发

公安部网安局8月23日消息,内蒙古包头市某装修公司员工靳某某要求群里人员“把各自的住户资料收起来”。经研判,靳某某系某犯罪团伙的关系人,该犯罪团伙以多种途径获取住宅小区住户购房信息并销售营利。警方成功将18名犯罪嫌疑人抓捕归案,并进一步挖掘出非法买卖公民个人信息嫌疑人10名。该案涉及售楼部、装修公司、建材公司在内的相关行业单位18家,查获包头市共182个住宅小区的54.6万余条住户购房信息。
公安部网安局8月23日消息,赤峰某装修公司为提升业绩,长期与相关行业和个人购买、交换客户信息,进而在房地产开发、物业管理、装饰装修等行业滋生出以“信息共享”为名义的侵犯公民个人信息产业链。喀喇沁旗警方陆续抓获犯罪嫌疑人5人,查扣涉案电脑硬盘3块、电脑4台、平板电脑6部、手机7部,发现印有个人信息纸质文档110余页、电子版个人信息4.5万余条。
公安部网安局9月27日消息,在接群众匿名举报后,江西上饶鄱阳县公安局网安大队抓获嫌疑人欧某,当场查获记载有小区业主及企事业单位工作人员信息数据的纸张600余张,共计公民个人信息4万余条。欧某通过非法手段获取大量公民信息,涉嫌侵犯公民个人信息罪,欧某等五名犯罪嫌疑人均已被依法采取刑事强制措施。

江苏无锡安全机关

公布多起企业数据泄露隐患案例

9月1日,江苏无锡安全机关公布多起企业数据安全漏洞案例,并强调加强监督检查,全力封堵数据安全隐患,为公民个人信息、企业经营数据以及其他重要敏感数据提供坚实安全保障。
  • 未建立数据安全管理制度未采取保障数据安全措施。
8月上旬,江苏无锡网安部门对某科技有限公司开展网络安全检查时发现,该公司日常购买、搜集的全网招聘信息直接存储在公司数据库服务器上,涉及数据库90余个、数据4.4T共8900万余条,全部能够直接访问并下载。并且,该公司在数据处理过程中不仅未建立数据安全管理制度,也未采取任何措施保障数据安全。无锡网安部门依据《数据安全法》第二十七条、第四十五条规定,对该公司予以行政警告处罚并责令限期改正。
  • 未重视安全漏洞或造成数据泄露。
某信息技术有限公司使用的“网络货运数据上传平台”“智能监控调度系统”等信息系统存在弱口令、越权等多个高危漏洞。经查,该公司上述两个系统存有驾驶员姓名、身份证号、电话号码、货运订单、车辆轨迹等数据上万条,且由于高危漏洞的存在,系统内数据均可直接下载。由于公安机关及时发现,且该公司积极配合落实整改,未造成严重后果。无锡网安部门依据《数据安全法》第二十七条、第四十五条规定,对该单位责令限期整改。
8月初,江苏无锡网安部门对某自控科技有限公司开展网络安全检查时,发现该公司新近上线系统存在数据泄露隐患。经查,该公司在测试某软件时,对公安网安部门已通报预警的重大安全漏洞未予重视,导致信息系统内数据可被轻易获取。无锡网安部门依据《数据安全法》第二十七条、第四十五条规定,对该公司予以行政警告处罚并责令限期改正。

镇江检察发布个人信息泄露四起典型案例

9月7日,镇江检察发布四起给个人信息安全带来危害的典型案例。
  • 利用用户个人信息下载注册应用指定软件。
2020年4月至2021年7月间,被告人陈某利用其在某通讯器材经营部工作的便利条件,在为用户办理业务过程中,私自将用户手机号码及接收到的验证码等用户个人信息发送至上家微信群及个人微信,用于注册“淘宝”等应用软件账户,或使用用户个人信息完成指定应用软件的下载、注册等操作。期间,被告人陈某非法获利共计4.4万余元。2022年3月16日,法院作出一审判决,以犯侵犯公民个人信息罪判处陈某有期徒刑三年,缓刑三年,并处罚金五万元。
  • 快递单未对用户个人信息采取隐匿化处理。
丹阳市内多家快递企业的快递单未对用户个人信息采取隐匿化处理等有效保护措施,直接显示客户姓名、电话号码等个人信息,存在泄露公民个人信息重大隐患。
  • 通过筒形摄像机收集、存储消费者人脸信息。
某售楼处为了业务运营,在未获消费者同意且无明显告示的情况下,通过筒形摄像机收集、存储消费者人脸信息,并通过抓取的信息实现客户分类。上述行为对于房屋销售缺乏必要性,违反了收集个人信息的必要性原则,侵犯了消费者的知情权、肖像权、隐私权,存在个人信息泄露风险,严重损害消费者权益和社会公共利益。
  • 网站公示页面未对个人信息进行去标识化处理。
某单位在官网页面“政府信息公开”一栏中公示某文件中,未对行政处罚单位的法定代表人、行政处罚自然人以及行政相对人的法定代表人的个人信息进行去标识化处理,致使45名公民的姓名、身份号码等重要信息公开,存在泄漏公民个人信息的风险隐患,侵害了社会公共利益。

新型案例:利用皮包公司与企业开展

  • 虚假合作骗取上亿条公民个人信息
9月9日消息,杭州网警紧密结合夏季治安打击整治“百日行动”,成功破获一起侵犯公民个人信息案。该案手段新颖、涉众面广,利用皮包公司与企业开展虚假合作骗取上亿条公民个人信息。截至目前,警方共抓获犯罪嫌疑人12名,依法采取刑事强制措施11名,查获涉及公民个人信息数据4亿余条,扣押计算机、手机、硬盘等作案设备50余件,涉案资金3千万元。

“百日行动”侵犯个人信息典型案例

9月9日,公安部发布“百日行动”期间打击网络违法犯罪十大典型案例,其中涉及个人信息案件占到四成。
  • 四川公安机关破获“8.10”侵犯公民个人信息案。
四川公安网安部门侦查查明,犯罪嫌疑人王某等人为牟取非法利益,成立3家助贷催收公司,组建技术团伙利用技术手段非法获取公民个人信息,并以此开展助贷催收业务,非法牟利1000余万元。8月10日,四川公安机关集中收网,抓获犯罪嫌疑人189名,查获各类非法获取公民个人信息软件工具104款,查获公民个人信息数据1200万余条。
  • 甘肃公安机关破获赖某等人侵犯公民个人信息案。
甘肃公安网安部门侦查查明,犯罪嫌疑人赖某等人利用非法软件非法“爬取”手机用户通话记录、支付记录、通讯录等数据,综合形成用户风控报告后,向“套路贷”诈骗分子贩卖牟利。7月中旬,甘肃公安机关组织集中收网,抓获犯罪嫌疑人21名,摧毁“套路贷”犯罪团伙6个。
  • 天津公安机关破获李某利用木马程序非法获取老年人信息并实施诈骗案。
犯罪嫌疑人蔡某某伙同王某某利用从李某处购买的木马程序,非法获取大量老年人身份信息及家庭情况,并以某健康科技公司为掩护,利用掌握的老年人信息精准筛选作案对象,通过推销保健品等形式实施诈骗。7月11日,天津公安机关集中收网,抓获李某等犯罪嫌疑人20名,查获木马程序29款、作案设备97部,查扣涉案资金1000余万元。
  • 浙江公安机关破获鲍某等人特大利用木马程序非法窃取贩卖快递信息案。
浙江公安网安部门侦查查明,以鲍某为首的犯罪团伙将木马程序植入电商云仓计算机中,实时窃取电子快递面单,并在网上贩卖牟利。“百日行动”期间,浙江公安机关组织收网行动,抓获犯罪嫌疑人37名,查获快递面单500余万条,涉案金额3000余万元,初步串并冒充电商客服实施诈骗类案件140余起。

运营泄露疫情防控工作信息

  • 成都通报3起典型案例
9月18日,成都市纪委监委官方微信公众号“清廉蓉城”发布了《中共成都市纪委、成都市监委关于3起违反工作纪律典型案例的通报》。
  • 都江堰市委常委、宣传部长李某泄露疫情防控工作信息问题。
李某在参加疫情防控工作调度会过程中,擅自用手机拍照,并将照片通过微信发送给私人微信,以致信息外泄,造成严重不良影响。成都市纪委对李某立案审查。
  • 青羊区卫健局党组书记、局长刘某某泄露疫情防控工作信息问题。
刘某某在参加全市疫情防控工作调度会过程中,擅自用手机拍照,并将照片发送到私人微信群中,以致信息外泄,造成严重不良影响。青羊区纪委对刘某某立案审查。
  • 双流区东升街道党工委书记刘某、怡心街道党工委书记李某某等2人泄露疫情防控工作信息问题。
刘某、李某某在参加全市疫情防控工作调度会过程中,擅自用手机拍照,并将照片发送到私人微信群中,以致信息外泄,造成不良影响。双流区纪委对刘某、李某某立案审查。

广东网安部门公布侵犯公民个人信息典案

9月19日消息,广东网安部门依法严惩窃取、贩卖公民个人信息的违法犯罪行为,近期破获侵公类案件104起,依法刑事拘留279人,起诉149人。典型案例包括:
  • 网络购买机动车登记信息制售假冒车牌和机动车登记证书。
广东江门公安机关近期查明,吴某昌等人通过网络购买机动车登记信息,制售包括港澳在内的全国所有省份假冒车牌和机动车登记证书上千套,用于强制报废、事故改装甚至走私车辆。8月份,江门公安机关先后发起两轮集中收网行动,成功抓获犯罪嫌疑人52名,捣毁制假窝点3个,现场查扣涉案机动车10辆,缴获假车牌540余块、各类假证件成品和半成品1200余套,制假工具一大批。
  • 购买公民信息用于精准引流。
广东东莞公安网安部门查明,徐某从某政府部门外聘人员陈某处,购买了大量公民信息,其中包括企业法人、财务人员的姓名、身份证、手机、及财产类敏感信息100万余条,公民个人信息被层层转卖至下游团伙处,用于精准引流。7月20日至7月23日,东莞公安机关开展收网行动,成功抓获中间人徐某和“内鬼”陈某,同时对涉案的9家信息咨询精准引流的公司进行清查,抓获犯罪嫌疑人204名。
  • 利用个人信息违规开办电话卡以注册APP并出售获利。
广东深圳公安网安部门查明,深圳某人力资源公司以招工名义,与某运营商公司代理商“内鬼”内外勾结,利用某运营商公司管理漏洞,违规开办大量电话卡用于注册APP并出售获利。2022年7月,广东深圳公安机关开展收网行动,一举抓获17名嫌疑人,其中包含多名运营商公司代理商“内鬼”。
  • 购买信息注册抖音号以在带货直播间获取个人信息进行推广引流。
广东佛山公安网安部门查明,佛山某商贸公司通过灰产渠道大量购买手机号及验证码注册抖音号,然后利用非法黑客软件绑定注册抖音号,进入高热度“抖音”带货直播间大量获取用户通讯录好友列表、私信评论等信息,并通过获取到的用户信息进行推广引流获利。8月2日下午,广东佛山公安机关展开收网行动,一举抓获鲁某等92名犯罪嫌疑人,现场查扣涉案手机276台、电脑132台、储存了9万多条公民个人信息的服务器等涉案物品一批。
(本文来源于安全419,点击文末“阅读原文”可查看文章)