5.重慶某科技公司數據被竊取案。網信部門工作發現,該企業用於汽車租賃服務的“OA信息系統”相關數據被竊取。經查,該企業涉事系統3306端口開放MySQL數據庫服務,未設置用戶密碼,存在弱口令漏洞,導致涉事系統相關數據被先後竊取159次。該企業未依法履行網絡安全、數據安全保護義務,涉事系統未採取技術措施和其他必要措施保障數據安全,造成數據被竊取後果,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,並予以警告、罰款處罰。
6.廣東某保險代理有限公司數據被竊取案。網信部門工作發現,該企業提供保險代理服務的後台系統相關數據被竊取。經查,該企業涉事系統存在越權遍歷訪問漏洞,攻擊者可通過遍歷URL ID的方式批量獲取數據,且該企業購買的雲防火墻服務已過期,未按照規定留存相關網絡日志,導致涉事系統相關數據被竊取。該企業未依法履行網絡安全、數據安全保護義務,涉事系統未依法留存相關網絡日志,未採取技術措施和其他必要措施保障數據安全,造成數據被竊取後果,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,並予以警告、罰款處罰。
7.湖南某科技股份有限公司數據存在洩露安全風險案。網信部門工作發現,該企業內網數據庫相關數據存在洩露安全風險。經查,該企業內網數據庫存在未授權訪問漏洞和弱口令漏洞,某軟件研發工程師為工作便利,將合作項目中掌握的大量用戶數據拷貝至企業內網數據庫,並打開企業內網的公共互聯網訪問端口,導致內網數據庫相關數據暴露在互聯網上。該企業未依法履行網絡安全、數據安全保護義務,未建立網絡安全和數據安全管理制度,涉事系統未採取技術措施和其他必要措施保障數據安全,存在數據洩露安全風險,違反《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正,並予以警告、罰款處罰。
8.北京某科技有限公司運營的App超範圍收集個人信息案。網信部門工作發現,該企業運營的App違反必要原則,收集與其提供的服務無關的個人信息。經查,該企業開發的App在用戶未使用任何功能情況下,後台運行時收集上傳用戶應用程序安裝、卸載信息。用戶使用上傳AI頭像等功能時,調用非必要存儲權限。相關行為超出了實現個人信息處理目的最小必要範圍,違反《網絡安全法》《個人信息保護法》《網絡數據安全管理條例》等法律法規。屬地網信辦已依法責令其改正,並予以警告、罰款處罰。 |
