網絡運營商應注意的兩件“小事”

網站、APP無論規模大小，負責人和運營商都應當按照法律法規的要求及時開展網絡安全工作履行網絡安全保護義務。

今天網警叔叔結合案例

向您提示兩件容易被忽視的“小事”

·弱口令·

網絡弱口令，猶如一扇不上鎖的門，不法分子很容易就可以通過對弱口令的破解，登錄目標網站發布有害信息，將原本作為企業宣傳窗口的網站，變為互聯網黑灰產業鏈的一環，甚至成為實施涉網違法犯罪的網絡節點。

下圖為揚XX藥業集團被黑客攻擊“掛馬”的情景：

案例一：

2021年9月，貴州省貴陽市開陽網安大隊在對屬地網站開展巡查工作中發現，轄區某旅游公司網站存在站點弱口令漏洞。

旅游公司掌握著許多旅客個人信息，一旦這些信息被不法分子盯上，利用弱口令漏洞進行盜取后從事違法犯罪活動，后果將不堪設想。

經查，該旅游企業于2016年委托網絡公司為其建設網絡站點，因時任企業負責人對互聯網及網絡安全相關知識不夠了解，為了便于管理網站，直接將網站后臺管理入口放置在web頁面，且存在弱口令漏洞。

針對此情況，網安大隊責令企業負責人直接將網站關閉，并對現有超期域名進行注銷，同時對該企業下達整改通知書。

·非法采集權限·

很多網友都曾體驗過，下載新的APP進行使用時，經常會遇到一些需要勾選同意的隱私政策。

這不僅是在依法保護你的個人信息，同時也是對APP開發者合理采集個人信息的手段進行約束與監督，但總有一些開發者出于“有意”或“無意”地忽略這一步驟。

案例二：

2020年10月，貴州貴陽市公安局網安支隊接上級通報，貴州某教育科技有限公司注冊及使用的三款APP存在不同程度侵犯公民個人信息行為。

接報后貴陽網安支隊高度重視，立即到該公司現場進一步調查處置。

經現場檢查發現，該APP無隱私政策及收集使用個人信息規則，在用戶首次登陸時以默認選擇隱私政策等非明示方式征求用戶同意、未逐一列出APP收集、使用個人信息的目的、方式、范圍；沒有提供有效的更正、刪除個人信息及注銷用戶賬號功能。

上述行為違反了《中華人民共和國網絡安全法》第四十一條、四十三條之規定，按照《中華人民共和國網絡安全法》第六十四條，對貴州某教育科技有限公司給予警告，對主要負責人孫某處以一萬元罰款。

在當前這個高度網絡化社會里網絡安全義務絕非空談不管你是個人還是公司既然要提供網絡服務就必須履行安全保護義務玩忽職守會導致嚴重后果“小事”會給你釀成大禍。

來源：公安部網安局