中評社北京9月17日電/據新華社報導,近段時間以來,全國網信系統認真貫徹落實《網絡安全法》《數據安全法》《個人信息保護法》《網絡數據安全管理條例》等法律法規,持續加大網絡安全、數據安全、個人信息保護相關執法工作力度,各地網信部門依法查處一批涉網頁篡改、數據洩露、違法違規處理個人信息、新技術新應用未經評估上線等違法違規案件。現將典型案例發布如下。
1.廣東某科技股份有限公司網頁篡改案。網信部門工作發現,該企業用於業務審批等的辦公協作平台登錄頁面被篡改為違法有害內容。經查,該企業涉事系統存在任意文件上傳漏洞,遭受勒索軟件攻擊,該企業當天發現後僅重裝系統,未修復系統漏洞。其後,攻擊者利用該漏洞上傳遠程控制木馬,將登錄頁面篡改為違法有害內容。該企業未依法履行網絡安全保護義務,未採取必要技術措施保障網絡安全,未及時修復系統漏洞,造成網頁篡改後果,違反《網絡安全法》相關規定。屬地網信辦已依法責令其改正,並予以警告、罰款處罰。
2.新疆某互聯網科技有限公司網頁篡改案。網信部門工作發現,該企業門戶網站及開發運維的8個網站子頁面被篡改為涉賭違法信息。經查,該企業上述網站存在安全缺陷和漏洞,相關網頁源代碼php文件被惡意篡改,出現涉賭違法信息。事件發生時,網站管理員休假不在崗,網站處於無人管理狀態。該企業作為網絡產品、服務提供者,未及時發現其開發的網站存在安全缺陷和漏洞,未立即採取補救措施,未按照規定及時告知用戶並向主管部門報告,違反《網絡安全法》相關規定,屬地網信辦已依法責令其改正,並予以警告處罰。
3.山東某醫學檢驗有限公司數據洩露案。網信部門工作發現,該企業某系統相關數據被搜索引擎爬蟲爬取。經查,涉事系統開啟目錄瀏覽功能,存在目錄遍歷和未授權訪問漏洞,未正確配置防火墻入侵防護策略,未按照規定留存相關網絡日志。相關搜索引擎爬蟲通過遍歷請求爬取了網站組織架構和文件,導致系統相關數據洩露。該企業未依法履行網絡安全、數據安全保護義務,涉事系統未依法留存相關網絡日志,未採取技術措施和其他必要措施保障數據安全,造成數據洩露後果,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,並予以警告、罰款處罰。
4.浙江某科技股份有限公司數據被竊取案。網信部門工作發現,該企業FTP系統相關數據被竊取。經查,該企業為方便共享、打印系統文件,將涉事系統設置為允許匿名訪問,並設置雲服務器安全組規則不生效,長期存在未授權訪問漏洞,導致涉事系統相關數據被竊取。該企業未依法履行網絡安全、數據安全保護義務,涉事系統未採取技術措施和其他必要措施保障數據安全,造成數據被竊取後果,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,並予以警告、罰款處罰。 |
