2024年第二季度全国数据泄露代表事件(不完全统计)
数据泄露事件可能发生在各行各业,相对而言,数字化程度高、数据密集体量大、数据资产价值高的领域更易成为重灾区。威胁猎人《2024年上半年互联网黑灰产研究报告》显示,2024年上半年数据泄露事件涉及85个行业,数据泄露事件数量前十的行业分别为银行、电商、消费金融、保险、快递、在线票务、证券、汽车品牌、支付和本地生活。
排名靠前的数据泄露行业中以金融、电商行业为主,金融行业的数据泄露事件主要体现在银行、消费金融、保险等企业的客户信息倒卖,通常被下游黑产团伙用于精准营销及诈骗,因涉及大量高价值用户数据,且靠近交易环节,成为了个人信息泄露的重灾区。安全419盘点了2024年二季度全国典型的数据泄露事件,主要如下:
泄露上千户业主个人信息 一物业公司被业主起诉索赔
南充晚报6月28日消息,四川省南充市顺庆区一小区物业管家,将多个电子表格,发至小区商业微信群。这些电子表格中,有上千户业主姓名、身份证号、详细住址、家庭成员、产权面积、手机号码、工作单位等个人信息。随着电子表格被转发、传播,业主频繁接到“骚扰电话”,日常生活受影响。近日,天府华城小区8户业主将小区物业公司起诉至顺庆区人民法院。6月27日,法院对此案进行公开开庭审理。
香港中文大学被黑客入侵 泄露两万师生信息
6月13日,香港中文大学(CUHK)发布关于电子学习平台资料安全事故的公告,其专业进修学院的“Moodle网上学习平台”遭到了黑客攻击,Moodle是一个广为流行的开源课程管理系统,允许教育工作者为学校、学院和工作场所的在线项目创建个性化学习环境。公告显示,泄露数据涉及20870个Moodle账户,数据类型包括教师、学生、校友、访客的姓名、电子邮件地址和学号。虽然公告中表示敏感数据未在任何公开平台上泄露,但这些信息疑似在暗网BreachForums上售卖。
甘肃甘州公安查处6起酒店行业未履行数据安全保护义务案
6月10日消息,甘肃省张掖市公安局甘州分局网安大队在“祁连2号”行动中,发现张掖市某酒店管理服务有限公司等6家酒店,网络数据管理系统均存在数据泄漏的风险,未履行数据安全保护义务,严重影响公民个人信息安全。甘州分局根据《数据安全法》相关规定,对6家酒店依法给予行政处罚,责令立即整改。
骑一次被借贷推销骚扰一个月 单车平台疑泄露用户信息
福州新闻网5月23日报道,一福州市民4月3日在上海骑行了一次哈X共享单车,之后每周至少接到一次该单车公司旗下的贷款平台的推销电话和短信,称他贷款额度有20万元,有时候推销电话还会“伪装”成私人手机号码进行推销。用户怀疑个人信息可能被公司平移给旗下助贷平台,为其引流。
记者联系该单车平台,客服表示,用户在注册App时,签署的使用协议中有约定同意公司可向其推送此类信息,其中包含旗下的助贷平台,若用户觉得造成困扰可以拨打客服电话退订。律师认为,根据《个人信息保护法》规定,用户不知情情况下过度使用用户信息,涉嫌侵犯用户个人信息权。
两平台大规模出售企业家个人信息 包括多名百亿富豪
红星资本局5月14日消息,探X查、励X云两家平台大规模出售多位企业家个人信息,包括农夫山泉创始人钟某睒、荣盛集团董事长李某荣、蜜雪冰城实控人张某甫等百亿富豪。其中“探X查”号称“2亿+企业数据库”“10亿+线索联系方式”,980元包年,每月可查企业信息5000条。按最大查询量算,1条企业家信息售价0.016元。对于数据来源,两平台销售人员宣传是与电信运营商合作。
对此,中国移动回应,不会售卖任何用户个人信息。中国移动一直以来高度重视客户个人信息保护工作,制定《中国移动数据安全管理办法》等系列制度,建立客户信息常态化保护体系。中国联通答复,肯定不存在对外泄露、出售企业家手机号的行为。从公司的管理制度来说,肯定不允许泄露个人信息。
2B中国公民信息泄露 国外安全团队发现完整数据集
5月6日,Cybernews研究团队发现了一个专门针对中国公民的庞大数据集。其背后的实体可能无意中错误地配置了 Elasticsearch(数据存储和搜索工具)实例,并使数据泄漏到互联网上。这次发现的 COMB 是今年第二大泄漏事件,仅次于数据泄露搜索引擎打开的 Mother of All Breachs(MOAB)集合中的 260 亿条记录。
数据包括以下内容:
668,304,162 条包含 QQ 账号和电话号码的记录;
502,852,106条包含微博账号ID和电话号码的记录;
ShunFeng 子数据集中有 50,557,417 条记录,包括电话号码、姓名和地址;
Siyaosu 子数据集中有 8,064,215 条记录,包括姓名、电话号码、地址和身份证号码;
名为 Chezhu 的子数据集中有 746,310 条记录,泄露了姓名、电话号码、电子邮件地址、地址和身份证号码数据;
平安子数据集中的 100,790 条记录包含姓名、电话号码、电子邮件地址、家庭住址、订购的服务、卡号和支付金额;
捷代子数据集中的 78,487 条记录泄露了姓名、电话号码、地址、身份证号码、工作地点、教育水平、伴侣姓名和电话号码。
山西公安成功破获特大侵犯公民个人信息案
4月19日,山西长治屯留分局成功破获一起特大侵犯公民个人信息案,铲除一个在境外平台买卖公民信息的特大新型网络犯罪团伙,抓获犯罪嫌疑人7名,冻结涉案资金3000余万元,扣押涉案手机、电脑30余台。经查,犯罪嫌疑人通过非法手段获取公民姓名、QQ号、手机号、抖音号、淘宝号等个人信息数据后,进行“清洗”加工,利用境外平台作为日常联系、传输数据的媒介,通过虚拟货币的形式进行交易,从中获取巨额利润。
因未落实业主个人信息保护义务 甘肃10家物业公司被处罚
4月9日消息,甘肃天水武山县公安局在开展公民个人信息保护专项检查行动中,发现多家物业公司办公电脑随意存储大量小区业主家庭住址、身份证号码、联系方式等个人信息,并且存在内部管理制度及操作规程缺失、信息系统弱口令等严重问题,个人信息分类管理及加密去标识化制度没有落实,导致业主个人信息被泄露的风险极大。其中,3家物业公司因未落实保护义务,致使业主信息被售楼中心、二手房交易中心非法获取,多名住户被骚扰电话困扰。
武山县公安机关依法对这3家物业公司处以罚款5000元的行政处罚并责令限期整改,同时对非法获取个人信息的售楼中心、二手房交易公司分别处以罚款1万元的行政处罚。针对另外7家物业公司未落实个人信息保护义务的问题,处以警告的行政处罚并责令其限期整改。
西安网警成功打掉一出售公民个人信息团伙
公安部网安局4月1日报道,陕西省西安市未央网警近日成功打掉一个非法出售公民个人信息团伙,抓获犯罪嫌疑人124人,依法刑事拘留19人,冻结涉案银行卡账户13个。经查,犯罪嫌疑人李某注册某法律咨询公司,伙同万某等人,通过从其上线刘某处非法查询获取公民个人信息,公司通过抖音、快手等网络社交平台发布广告引流,身披法律咨询业务外衣,以为客户提供诉讼代理为由,行“有偿查询、提供公民个人敏感信息”之实。
经统计,该公司所提供的查询内容包括身份证号查地址、身份证查手机等个人敏感信息,索要价格在600元至2000元不等,存在集团式非法买卖、获取公民个人信息的犯罪行为。公司通过查询买卖他人信息非法获利270余万。目前,案件正在进一步侦办当中。
