随着互联网的飞速发展和各项新技术的普及应用,数据呈爆发式增长,其价值与日俱增,备受各界关注。数据已上升至国家战略层面,与此同时相关数据泄漏事件频发,在此,小编就为大家盘点2021年国内具有代表性的十大信息泄漏事件。
疑似超2亿国内个人信息在国外暗网论坛兜售
1月,国外安全研究团队Cyble在一次日常安全监控中发现了多个帖子正在出售与中国公民有关的个人数据。经分析,这些数据很可能来自微博、QQ等多个社交媒体,其中还发现了大量湖北省“公安县”的公民数据。其中一个帖子,威胁者公布了公安县999名中国公民的户口登记样本数据,以作为黑客攻击的证据。并表示共有730万中国公民的数据可供出售,包括身份证,性别,姓名,出生日期,手机号,地址和邮编等记录。
国内某银行疑似发生数据泄露 高达1679万条
据媒体报道,2021年1月8日23时55分,有人在某国外论坛中发帖售卖某银行1679万笔数据,并放出部分数据样本,数据包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等
镇江丹阳30人贩卖6亿条个人信息获利800余万
据央视新闻客户端1月消息,江苏丹阳警方成功侦破一起公安部督办的侵犯公民个人信息案,涉及10多个省市,抓获犯罪嫌疑人30名。该团伙贩卖公民信息数量巨大,且贩卖信息中包含数据种类繁多,涉及姓名、身份证号、联系方式、家庭住址、银行流水等众多信息。经查,涉嫌侵犯公民个人信息罪的30名犯罪嫌疑人共贩卖公民个人信息6亿余条,违法所得800余万元。
全国首例利用微信清粉软件获取个人信息案宣判
3月3日,全国首例利用微信“清粉”软件非法获取微信用户信息的案件进行了集中宣判,张某等八名被告人以刷阅读量、售卖微信群聊二维码等方式非法获利200多万元,犯非法获取计算机信息系统数据、非法控制计算机信息系统罪而获刑。据了解,在2020年6月,南通市公安局网安支队民警在工作中发现,部分微信朋友圈和群聊中散播的“清粉”软件存在很大安全隐患。民警介绍,“清粉”软件的原理,就是通过应用集群控制软件控制微信账号,自动向所有好友群发消息,再由软件自动识别哪些是“僵尸粉”并予以删除。但犯罪嫌疑人在取得微信账号的控制权限后,却借机非法获取用户微信群聊二维码信息,并将这些群聊二维码以图片形式保存在服务器上,再倒卖给下游的诈骗、赌博等犯罪团伙获利。
315曝光人脸信息滥用、简历泄露等乱象
3月15日,央视315曝光三个涉及个人信息安全案例:商家安装摄像头捕捉记录顾客人脸信息,多门店共享并进行综合报价;智联招聘、猎聘等平台简历给钱就可随意下载,大量简历流入黑市;许多针对老年人开发的手机清理App背地里不断获取手机信息,并推送带有欺骗套路的内容。
中信银行因泄露客户信息被罚450万元
3月19日,银保监会消保局公布的罚单显示中信银行被处以450万元罚款。有消息称,该罚单疑似为2020年5月,脱口秀艺人池子举报中信银行违规私自对外提供其银行流水信息事件的处罚结果。
淘宝近12亿条用户数据泄露
6月3日,商丘市睢阳区人民法院公开一份刑事判决书,被告人逯某通过其开发的软件爬取淘宝客户的数字ID、淘宝昵称、手机号码等淘宝客户信息共计11.81亿条,将其中的淘宝客户手机号码通过微信文件的形式发送给被告人黎某用于商业营销,共获利34万元。
全国首例手机APP非法超限采集个人信息案宣判
9月16日,全国首例利用手机APP软件非法超限采集公民个人信息案在天津宣判。某网络公司利用贷款类手机APP软件非法超限采集通讯录、通话记录、短信等公民个人信息246万余条,被告人葛某、朱某因侵犯公民个人信息罪分别被天津市河东区人民法院判处有期徒刑三年并处罚金10万元。
超2亿条个人信息被卖 13人被抓
10月,江苏泰州公安姜堰分局网安大队捣毁了一个涉嫌侵犯公民个人信息的犯罪团伙,共抓获13人,其非法售卖的公民个人信息竟然超过2亿条。该团伙通过不法手段窃取个人信息后,按1GB数据4000元或者100万条数据200元两种价格售卖,平均下来,每50条账号、密码信息才1分钱。
境外机构窃取我国敏感数据
11月,国家安全机关公布了一起非传统安全案件。2020年以来,国家安全机关接连发现,多个境外机构在我国境内开设网站,并在微博、贴吧、论坛、QQ群、视频网站等多个平台推送广告,利用我国国内航空和无线电爱好者群体,以免费提供设备、共享航空信息数据等为诱饵,广泛招募志愿者,协助其搜集我国各类飞行器航空数据等信息,并非法向境外传输。
通过对2021年信息泄漏事件的整理和挖掘分析,数据泄漏发生的原因主要是不法分子通过植入恶意代码、撞库攻击等手段的外部攻击风险以及内部员工有意、无意的主动泄露风险。
明朝万达数据安全专家将数据泄漏成因归纳为:黑客、网站漏洞、数据库漏洞、公开数据库、非授权访问和“内鬼”六大部分。
明朝万达数据安全专家建议
建立并完善对敏感数据的全方位治理和安全管理手段
通过智能化、动态化的技术手段,对数据进行分类分级,识别敏感数据、定位敏感数据的分布和流转,分析过程中的风险,明确数据泄漏后如何溯源追责,采取加密、脱敏等相应的数据安全产品和技术手段来解决这些问题。
健全落地性强的安全管理制度和规范
近几年,随着《网络安全法》、《网络安全等级保护基本要求2.0》、《数据安全法》《个人信息保护法》等相继出台,数据安全已经被逐步纳入国家法规和行业规范中。数据安全已经成为新一代信息安全标准的基本内容,围绕颁布的法律法规,完善和健全各行业可落地的数据安全管理制度和规范,对各类组织承担的数据安全保障义务与责任进行明确要求。
提高数据泄漏风险防范安全意识
调查结果表明,绝大部分的泄漏风险来自企业内部,邮件外发、社交网络、文件拷贝等有意无意的拷贝、外发和上传操作等是内部泄漏的主要途径,企业应加强对内部员工及运维人员的安全意识培训及风险管理。