近期5起案例 | 未履行网安、数安、个人信息保护义务

文摘   2024-10-17 11:02   中国  

探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击  "合规社"  > 点击右上角“···” > 设为星标⭐
内容 | 公安部网安局等官方媒体
编辑 |合规社 合规酱

01

广西钦州一机构未履行个人信息保护义务被处罚
2024年6月26日,钦州网警在日常检查时发现灵山县某机构对用户个人信息管理不规范。
其通过租用APP,共收集6600多名会员信息数万条。其中不乏姓名、身份证号码、手机号码、家庭住址等个人敏感信息。

经进一步检查,该机构未按要求制定内部管理制度和操作规程、未采取相应的加密和去标识化等安全技术措施、未合理确定个人信息处理的操作权限、未定期对从业人员进行安全教育和培训、未履行个人信息保护义务。存在公民个人信息泄露或非法提供、出售公民个人信息的风险,钦州公安机关依法予以行政处罚。

来源:公安部网安局

02

上海某医疗科技企业未履行保护义务被网信部门依法处罚
近日,上海市网信办接到线索,反映属地某医疗科技公司所属系统存在网络安全漏洞,致使系统大量个人信息数据发生泄漏被境外IP访问窃取。针对这一问题线索,上海市网信办立即赴涉事企业开展现场核查。经查实,该企业的确存在数据泄漏问题,暴露出公司未能履行好网络安全、数据安全保护义务,上海市网信办依据《数据安全法》对该公司予以立案调查。
通过调查核实,涉事医疗科技公司为民营医疗机构,主要从事医疗领域教育培训的技术开发服务,涉事系统为该企业内部生产测试系统,部署于云服务平台,系统数据库内存储大量个人信息数据,包含姓名、单位名称、所属省市、所在乡镇/街道、手机号(已采取加密措施)等。该系统未采取有效网络安全防护措施,存在未授权访问漏洞,网络和数据安全管理制度不完善,网络日志留存不足6个月,造成数据泄漏被窃取。

上海市网信办依据《数据安全法》第四十五条规定对该医疗科技公司给予警告,并处以罚款的行政处罚。

来源:网信上海

03

路由器文件下载漏洞,不履行网络安全保护义务被处罚

近日,若羌县某公司使用的企业级路由器存在文件下载漏洞。攻击者可通过访问特定路径绕过COOKIE验证,进行目录穿越,获取设备的明文配置文件。配置文件中包含了web管理员账号的明文密码。利用该漏洞,攻击者能够登录设备后台,通过开启telnet获取命令执行权限,造成严重的安全隐患。

若羌县互联网信息办公室已向该公司通报了漏洞情况,并指导其进行设备加固和漏洞修补。同时,约谈了该公司的主要负责人,强调了网络安全的重要性,并要求其立即整改。目前,该公司已更换了管理员密码并关闭了相关端口,提升了设备的安全性。

来源:若羌县委网信办

04

网络设备任意文件读取漏洞不履行网络安全保护义务被处罚

近日,若羌县某单位使用的网络设备存在任意文件读取漏洞。攻击者可利用该漏洞无需身份认证读取服务器的任意文件,从而获取敏感信息。这将导致重要数据的泄露,严重威胁系统的运行安全。
若羌县互联网信息办公室已向该单位发出安全警告,并协助其进行漏洞修复和系统加固。同时,约谈了该单位的主要负责人,要求其增强网络安全防护意识,立即采取措施进行整改。目前,该单位已修补了漏洞,并加强了对网络设备的安全监控。

来源:若羌县委网信办

05

防火墙设备默认弱口令风险不履行网络安全保护义务被处罚

近日,若羌县某局使用的防火墙设备存在默认弱口令风险。设备的默认账号和密码很容易被攻破。攻击者能够利用这一弱口令轻易入侵设备后台,进行数据破坏和篡改,带来重大安全风险。
若羌县互联网信息办公室已与该局联系,并要求其立即更改默认密码,设置复杂密码,并定期进行密码更新。同时,对该局的主要负责人进行了约谈,强调了网络安全的重要性和紧迫性。目前,该局已根据建议完成了密码更改,并提高了设备的安全防护措施。

来源:若羌县委网信办


🎁合规社知识星球已运营426天、530+成员

📚畅享丰富好内容,文件不限下载!
🔓获取嘉宾精心整理的数据安全与合规领域独家资料!
🎥 享受星球内丰富的视频资源,每月持续更新!
🤝还可加入合规社专业微信群,与行业精英建立联系!

⬇️⬇️⬇️

合规社
数据安全与隐私保护新知分享平台
 最新文章