2021年國內十大信息泄漏事件

隨著互聯網的飛速發展和各項新技術的普及應用，數據呈爆發式增長，其價值與日俱增，倍受各界關注。數據已上升至國家戰略層面，與此同時相關數據泄漏事件頻發，在此，為大家盤點2021年國內具有代表性的十大信息泄漏事件。

疑似超2億國內個人信息在國外暗網論壇兜售

1月，國外安全研究團隊Cyble在一次日常安全監控中發現了多個帖子正在出售與中國公民有關的個人數據。經分析，這些數據很可能來自微博、QQ等多個社交媒體，其中還發現了大量湖北省“公安縣”的公民數據。其中一個帖子，威脅者公布了公安縣999名中國公民的戶口登記樣本數據，以作為黑客攻擊的證據。并表示共有730萬中國公民的數據可供出售，包括身份證，性別，姓名，出生日期，手機號，地址和郵編等記錄。

國內某銀行疑似發生數據泄露 高達1679萬條

據媒體報道，2021年1月8日23時55分，有人在某國外論壇中發帖售賣某銀行1679萬筆數據，并放出部分數據樣本，數據包括名字、性別、卡號、身份證號、手機號碼 、所在城市、聯系地址、工作單位、郵編 、工作電話、住宅電話、卡種、發卡行等等

鎮江丹陽30人販賣6億條個人信息獲利800余萬

據央視新聞客戶端1月消息，江蘇丹陽警方成功偵破一起公安部督辦的侵犯公民個人信息案，涉及10多個省市，抓獲犯罪嫌疑人30名。該團伙販賣公民信息數量巨大，且販賣信息中包含數據種類繁多，涉及姓名、身份證號、聯系方式、家庭住址、銀行流水等眾多信息。經查，涉嫌侵犯公民個人信息罪的30名犯罪嫌疑人共販賣公民個人信息6億余條，違法所得800余萬元。

全國首例利用微信清粉軟件獲取個人信息案宣判

3月3日，全國首例利用微信“清粉”軟件非法獲取微信用戶信息的案件進行了集中宣判，張某等八名被告人以刷閱讀量、售賣微信群聊二維碼等方式非法獲利200多萬元，犯非法獲取計算機信息系統數據、非法控制計算機信息系統罪而獲刑。據了解，在2020年6月，南通市公安局網安支隊民警在工作中發現，部分微信朋友圈和群聊中散播的“清粉”軟件存在很大安全隱患。民警介紹，“清粉”軟件的原理，就是通過應用集群控制軟件控制微信賬號，自動向所有好友群發消息，再由軟件自動識別哪些是“僵尸粉”并予以刪除。但犯罪嫌疑人在取得微信賬號的控制權限后，卻借機非法獲取用戶微信群聊二維碼信息，并將這些群聊二維碼以圖片形式保存在服務器上，再倒賣給下游的詐騙、賭博等犯罪團伙獲利。

315曝光人臉信息濫用、簡歷泄露等亂象

3月15日，央視315曝光三個涉及個人信息安全案例：商家安裝攝像頭捕捉記錄顧客人臉信息，多門店共享并進行綜合報價；智聯招聘、獵聘等平臺簡歷給錢就可隨意下載，大量簡歷流入黑市；許多針對老年人開發的手機清理App背地里不斷獲取手機信息，并推送帶有欺騙套路的內容。

中信銀行因泄露客戶信息被罰450萬元

3月19日，銀保監會消保局公布的罰單顯示中信銀行被處以450萬元罰款。有消息稱，該罰單疑似為2020年5月，脫口秀藝人池子舉報中信銀行違規私自對外提供其銀行流水信息事件的處罰結果。

淘寶近12億條用戶數據泄露

6月3日，商丘市睢陽區人民法院公開一份刑事判決書，被告人逯某通過其開發的軟件爬取淘寶客戶的數字ID、淘寶昵稱、手機號碼等淘寶客戶信息共計11.81億條，將其中的淘寶客戶手機號碼通過微信文件的形式發送給被告人黎某用于商業營銷，共獲利34萬元。

全國首例手機APP非法超限采集個人信息案宣判

9月16日，全國首例利用手機APP軟件非法超限采集公民個人信息案在天津宣判。某網絡公司利用貸款類手機APP軟件非法超限采集通訊錄、通話記錄、短信等公民個人信息246萬余條，被告人葛某、朱某因侵犯公民個人信息罪分別被天津市河東區人民法院判處有期徒刑三年并處罰金10萬元。

超2億條個人信息被賣 13人被抓

10月，江蘇泰州公安姜堰分局網安大隊搗毀了一個涉嫌侵犯公民個人信息的犯罪團伙,共抓獲13人，其非法售賣的公民個人信息竟然超過2億條。該團伙通過不法手段竊取個人信息后，按1GB數據4000元或者100萬條數據200元兩種價格售賣，平均下來，每50條賬號、密碼信息才1分錢。

境外機構竊取我國敏感數據

11月，國家安全機關公布了一起非傳統安全案件。2020年以來，國家安全機關接連發現，多個境外機構在我國境內開設網站，并在微博、貼吧、論壇、QQ群、視頻網站等多個平臺推送廣告，利用我國國內航空和無線電愛好者群體，以免費提供設備、共享航空信息數據等為誘餌，廣泛招募志愿者，協助其搜集我國各類飛行器航空數據等信息，并非法向境外傳輸。

通過對2021年信息泄漏事件的整理和挖掘分析，數據泄漏發生的原因主要是不法分子通過植入惡意代碼、撞庫攻擊等手段的外部攻擊風險以及內部員工有意、無意的主動泄露風險。

數據安全專家將數據泄漏成因歸納為：黑客、網站漏洞、數據庫漏洞、公開數據庫、非授權訪問和“內鬼”六大部分。

數據安全專家建議：

• 建立并完善對敏感數據的全方位治理和安全管理手段

通過智能化、動態化的技術手段，對數據進行分類分級，識別敏感數據、定位敏感數據的分布和流轉，分析過程中的風險，明確數據泄漏后如何溯源追責，采取加密、脫敏等相應的數據安全產品和技術手段來解決這些問題。

• 健全落地性強的安全管理制度和規范

近幾年，隨著《網絡安全法》、《網絡安全等級保護基本要求2.0》、《數據安全法》《個人信息保護法》等相繼出臺，數據安全已經被逐步納入國家法規和行業規范中。數據安全已經成為新一代信息安全標準的基本內容，圍繞頒布的法律法規，完善和健全各行業可落地的數據安全管理制度和規范，對各類組織承擔的數據安全保障義務與責任進行明確要求。

• 提高數據泄漏風險防范安全意識

調查結果表明，絕大部分的泄漏風險來自企業內部，郵件外發、社交網絡、文件拷貝等有意無意的拷貝、外發和上傳操作等是內部泄漏的主要途徑，企業應加強對內部員工及運維人員的安全意識培訓及風險管理。