近几年,随着数字时代的推进,数据的重要性愈加凸显。2020年初,数据作为新的生产要素被正式列入中央文件,等保2.0、《数据保护法(草案)》、《个人信息保护法(草案)》等多项法律法规相继出台,数据安全为大势所趋,列入社会各行各业2020年核心工作建设范围。
回首2020年,数据泄漏事件频发,在此,小编就根据时间线,为大家整理盘点这一年来国内发生的那些具有代表性的十大信息泄漏事件。
01、 7000多名武汉返乡人员信息遭泄漏
2020年春节前后,新型肺炎疫情引发全民关注,有一个群体成了舆论的中心——武汉返乡人员。1月25日,微博上出现的#武汉返乡人员信息被泄漏#的话题阅读量已经超过2800万,留言反馈者不少是武汉各大高校的学生,超七千武汉返乡者信息泄漏。
02、微博5.38亿用户数据在暗网出售
2020年3月,有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1388美元。其中绑定手机数据包括用户ID和手机号,账号基本信息包括昵称、头像、粉丝数、所在地等。
03、青岛市胶州中心医院6000余人信息遭泄漏
2020年4月,胶州市民的微信群里出现中心医院出入人员名单信息,内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了不良社会影响。青岛市公安部门4月19日通报,泄漏信息的3人被拘留。
04、 银行频出客户隐私泄漏丑闻,“内部员工”成最大安全威胁
2020年4月,有媒体报道,浙江岱山农商银行、浙江民泰商业银行有内部人员违规泄漏客户信息。其中,浙江岱山农商银行被银保监会罚款30万,泄漏信息的内部员工被禁业三年。
2020年5月6日,脱口秀演员王越池(艺名池子)微博发声,指责银行泄漏其个人账户交易信息。5月7日凌晨,银行发布致歉信称,已按制度规定对相关员工予以处分,并对支行行长予以撤职。
2020年5月,江苏淮安警方破获一起贩卖公民个人信息案,建设银行员工以每条80-100元的价格,将银行卡使用人的身份信息、电话号码、余额甚至交易记录售卖谋利,涉及个人信息50000多条。
05、 多地高校数万学生隐私遭泄漏
2020年4月,河南财经政法大学、西北工业大学明德学院、重庆大学城市科技学院等高校的数千名学生发现,自己的个人所得税App上有陌生公司的就职记录。税务人员称,很可能是学生信息被企业冒用,以达到偷税的目的。
2020年6月,再次发生高校学生信息泄漏事件。郑州西亚斯学院近两万名学生信息遭到泄漏,包括姓名、身份证号、专业、宿舍门牌号等二十余项信息,多名学生反映收到骚扰电话。
06、 快递行业倒卖用户信息产业链被曝光
2020年8月,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖,导致40万条公民个人信息被泄漏。案件在11月被曝光后引起轩然大波。
紧接着有媒体连日调查发现,此现象不止圆通一家,网上存在贩卖快递用户信息的“黑产”链条,涉及申通、德邦、EMS、韵达等多家快递公司。大量包含快递客户姓名、住址、电话的信息被打包在网上出售,每条售价从0.8元至10元不等。
07、广西一医护人员倒卖8万条婴儿信息被追责
2020年9月27日,广西南宁法院审理一起8万多条新生儿、产妇信息被倒卖的案件,被告人利用在广西妇幼保健院工作的便利,在为新生儿办理出生证时,非法下载新生儿和产妇的个人信息,总量达89904条。
08、 泰州警方:800万条公民个人信息被售卖
2020年10月15日,央视新闻消息,经过6个多月的缜密侦查,江苏泰州警方破获一起侵犯公民个人信息案,抓获犯罪嫌疑人7名,被售卖的公民个人信息达800多万条。
09、央视曝光特大电信诈骗:万人被骗超两亿,40万条信息被卖
2020年4月,在公安部打击贷款类诈骗集群战役指挥部的统一指挥下,一起代号为3.26的特大贷款类电信网络诈骗案被江苏公安机关成功侦破。公安机关在工作中发现,不法分子对受害人能够实施精准诈骗,关键在于一些非法网络推广团伙向其贩卖了大量有贷款意向的公民个人信息。同年3月,非法网络推广团伙获取了40万条贷款申请人的个人信息,并以每条30至50元不等的价格出售给电信网络诈骗分子,受害人达4700名,涉案金额1.1亿元。
10、央视调查:简历信息贩卖已形成一条灰色产业链
2020年12月14日消息,央视记者调查发现,简历信息贩卖已经形成了一条灰色产业链。据报道,不少人在招聘平台上传建立后就会收到骚扰电话,自己的个人简历信息被招聘网站下载后转手卖掉,QQ等社交平台便是贩卖集中地。
通过对2020年信息泄漏事件的整理和挖掘分析,数据泄漏发生的原因主要是不法分子通过植入恶意代码、撞库攻击等手段的外部攻击风险以及内部员工有意、无意的主动泄露风险。
明朝万达数据安全专家将数据泄漏成因归纳为:黑客、网站漏洞、数据库漏洞、公开数据库、非授权访问和“内鬼”六大部分。
在2020年发生的信息泄漏事件中,“内部员工”成为了数据安全防护机制中最突出的“安全漏洞”,加强内安全管理成为必须,也是未来所有机构在进行数据安全防护时必须加强建设的重点。
明朝万达数据安全专家建议:三分技术,七分管理
□ 建立并完善对敏感数据的全方位治理和安全管理手段
通过智能化、动态化的技术手段,对数据进行分类分级,识别敏感数据、定位敏感数据的分布和流转,分析过程中的风险,明确数据泄漏后如何溯源追责,采取加密、脱敏等相应的数据安全产品和技术手段来解决这些问题。
□ 健全落地性强的安全管理制度和规范
近几年,随着《网络安全法》、《网络安全等级保护基本要求2.0》、《数据安全法(草案)》《个人信息保护法(草案)》等相继出台,数据安全已经被逐步纳入国家法规和行业规范中。数据安全已经成为新一代信息安全标准的基本内容,围绕颁布的法律法规,完善和健全各行业可落地的数据安全管理制度和规范,对各类组织承担的数据安全保障义务与责任进行明确要求。
□ 提高数据泄漏风险防范安全意识
调查结果表明,绝大部分的泄漏风险来自企业内部,邮件外发、社交网络、文件拷贝等有意无意的拷贝、外发和上传操作等是内部泄漏的主要途径,企业应加强对内部员工及运维人员的安全意识培训及风险管理。 |