盘点 | 2023年下半年国内数据安全事件

2023年下半年国内网络安全事件更是层出不穷，数量庞大的数据泄露令人惊叹。盘点典型数据安全事件，能使我们更加了解目前数据安全态势，提高保护意识，防患于未然。

7月，安全部门发现有未知黑客组织使用大量钓鱼恶意邮件，正在针对我国企业财务部门实施定向攻击活动，已有相当数量的企业中招。

7月，厦门一家科技公司被恶意攻击，非法窃取公民个人信息超过了100万条，这些信息被他们以每条0.7元到1元不等的价格，对外出售，非法获利约40万元。

7月，北京朝阳网安部门接市公安局网安总队通报，辖区某科技公司存在数据泄露隐患，分局迅速组织相关力量前往该科技公司进行现场网络安全检查。该科技公司一款APP产品后台存储的客户姓名、手机号、微信账号、邮箱等信息46万余条数据被暴露在互联网上，该数据一旦被不法分子获取，将导致大量公民个人信息泄露，给广大人民群众个人合法权益造成重大影响。

7月，北京昌平网安部门工作中发现，辖区内某软件有限公司研发的“某数据分析系统”存在数据泄露隐患。该系统内数据信息未采用加密措施，系统服务器未采取任何网络防护和技术防护措施，造成19.1GB公民隐私数据暴露在互联网。

7月，网传信息显示：人民大学一名毕业生通过技术手段非法途径获取14-20级的全校学生个人信息，并且他将这些信息公开发布在一个网站上炫耀。

7月，近三个月大量疑似南亚印度地区APT组织活动频繁猖獗，主要针对中国境内多个重点行业组织。包括CNC、BITTER（蔓灵花）、Patchwork（白象）、Conficius（摩罗桫）、SideWinder（响尾蛇）、Donot（肚脑虫）等，对我国境内多个行业发起多次攻击，主要针对教育、航空工业、科研单位、军工、政府等行业。

8月，安全人员发现黑客组织“Patchwork”正在针对中国政府、能源等机构发动大规模钓鱼邮件攻击。

8月，据媒体报道，58集团收集学生简历并高价卖给培训机构，牟利200余万。毕业生简历单份报价在30-2000元不等，博士生简历甚至高达1500元/份。

8月，广西北海公安网安部门发现，北海某公司网站存在严重数据泄露问题，约22万个人信息数据已挂在暗网售卖。经查，涉案公司主要提供网上咨询服务，在日常工作中收集了个人和企业等大量公民信息，但公司存放数据的服务器安全防护措施不足，仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御，存在被多个境外IP攻击入侵的情况。

8月，南昌公安网安部门工作发现，南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。经查，涉案高校在开展数据处理活动中，未建立全流程数据安全管理制度，未采取技术措施保障数据安全，未履行数据安全保护义务，导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵，其中3万余条教职工、学生个人敏感信息数据被非法兜售。

8月，犯罪嫌疑人余某等人利用植入木马病毒，制作成新的app链接，再将制作完成的链接发出去，迷惑用户下载，短短数日，被木马病毒远程非法控制的电脑已达一百多万台。

8月，香港科创中心数码港表示遭第三方攻击者入侵，窃取超过400GB数据，比如身份证复印件、简历、银行账户详细信息和结婚证，黑客要求支付30万美元（约合港币235万元）才能归还。并且黑客组织在暗网上设置了截止日期，称将在他们期望的时间支付赎金，到期后仍不付款将公开这些信息。

9月，一犯罪团伙假借和快递公司谈业务，快递潜入分拣中心安装远程控制软件，窃取物流面单3万余张。

9月，江苏公安机关网安部门依据《数据安全法》，聚焦信息数据泄露、滥用、篡改等行业领域问题乱象，加大监督检查、通报预警和行政执法力度，对多家企业进行了处罚。

9月，厦门一教育培训机构遭黑客入侵，2万条职工、学员信息被出售，教培机构被罚。犯罪嫌疑人朱某某利用系统漏洞，非法入侵该教育机构的办公管理系统，窃取近两万条信息，包含学号、姓名、手机号、身份证号等内容，而后进行出售。

9月，上海某科技公司犯罪嫌疑人曹某利用自己是软件工程师的优势，篡改余额后，以每周4至5次每次1万元的频率，陆续给自己银行卡提取了230余万元。曹某又利用朋友的身份证再次办理账号，以同样的方式再次从公司提现36万元。

10月，安全人员发现大量针对国内企业财务人员的钓鱼攻击，受害者一旦“中招”将失去电脑控制权，关闭杀软，泄露储存数据，泄露浏览器历史，键盘被记录，及计算机信息。此外，攻击者还会利用远控控制计算机再次传播病毒，对用户伙伴造成连带损失。

10月，据国家安全部消息，今年以来，国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理，调查境外气象设备代理商10余家，检查涉外气象站点3000余个，发现数百个非法涉外气象探测站点实时向境外传输气象数据，广泛分布在全国20多个省份，对我国家安全造成风险隐患。

11月，公安网安部门查处了一起某大药房“内鬼”侵犯公民个人信息案。“内鬼”得到应有的法律处罚外，该大药房也因未履行数据保护义务造成数据泄露的违法行为被公安机关罚款110万元。通过侦查，该大药房数据分析师利用工作便利将大量交易数据导出并售卖。

11月，网曝大江生医集团大量数据遭到泄露。安全人员监测到的数据泄露，主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)，总大小 236.3 GB，包含 104,001 个文件。

11月，南昌县公安局网安大队民警在日常工作中发现，辖区内一所高校学生的个人信息被打包挂在境外社交平台公开出售。嫌疑人李某利用校内身份便利，非法将该高校在线文档上的561条学生个人信息以每条0.2元的价格出售给他人，企图从中获利。虽然交易未达成，但数据泄露造成的损失已无法挽回。

11月，国内某家能源集团的相关数据在暗网上被黑客以 50 比特币的价格拍卖。从黑客发布的样本截图来看，此次泄露的数据中涵盖了财务数据、设计图纸、职工信息等，非常敏感的信息。

12月，北京一互联网公司遭黑客撞库攻击，求职招聘类app的短信验证码接口遭受攻击达1300余万次！同时该团伙还长期使用类似的方式对其它各大网站进行渗透并伺机查找网站漏洞，并以此为诱饵向他人兜售自己编写的恶意程序和黑客工具，长期在境外网站盗卖由撞库非法获取的大量公民个人信息及公司账号数据，并使用虚拟币进行交易，牟取利益。最终犯罪团伙被全部抓获，现场起获各类公司、人员数据330余万条。

12月，重庆渝中区一科技公司开发运营的某OA系统因未履行好网络数据安全保护义务，导致大量数据泄露，情节严重。网信办在重庆市网信办指导下，依法对该公司涉数据泄露等违法违规行为进行立案查处，作出责令限期五日改正，给予行政警告并处10万元罚款的行政处罚。

2023年全球风险调研的结果显示：网络攻击/数据泄露排名第二，现已成为企业首要风险。企业应采取有效的保护措施，才能避免网络攻击、数据泄露等风险。

一、采用加密技术

采用加密技术是保护数据安全的重要措施之一。加密技术可以将敏感数据进行加密，使其无法被未经授权的人员读取或篡改。

二、限制数据访问权限

数据访问权限是防范数据泄露的关键措施。企业应该根据员工的职位和工作需要，为其分配相应的数据访问权限。同时，企业应该建立完善的权限管理制度，定期对员工的权限进行审查和调整。对于离职员工，企业应该及时收回其访问权限，避免数据泄露的风险。

三、建立完善的数据备份和恢复机制

数据备份是防范数据泄露的重要措施之一。企业应该建立完善的数据备份机制，定期对重要数据进行备份，并确保备份数据存储在安全可靠的环境中。同时，企业应该制定详细的应急预案，以便在发生数据泄露事件时能够快速响应并恢复数据。

四、加强数据安全培训

加强员工的数据安全意识和技能是防范数据泄露的关键。企业应该定期开展数据安全培训，提高员工对数据安全的重视程度和操作技能。同时，企业应该加强对新员工的数据安全培训，确保他们能够快速适应企业的信息安全环境。

五、部署数据防泄漏系统（DLP）

政企等涉密机构，可部署数据防泄漏系统，可有效避免内部人员无意或恶意的数据外泄。数据防泄漏系统会对内容进行识别，通过识别可扩展到对数据泄露的防控，可定位敏感数据位置、监控敏感数据的使用情况以及采取阻断和审批加密的策略，防护敏感数据外泄。