聚焦！近期国内外网络安全事件盘点

01

国际动态/事件盘点

 01  

英媒：TikTok新建多家欧洲数据中心

据英国《金融时报》网站3月8日报道，TikTok日前推出了保护欧洲用户数据的新措施，这个由中企所有的社交媒体应用软件正试图缓解各国政府日益增加的安全担忧。

报道称，TikTok在8日宣布推出名为“三叶草计划”的欧洲数据安全制度，将在都柏林开设两家数据中心，并在挪威开设第三家数据中心，以存储该平台1.5亿欧洲用户生成的视频、消息和个人信息。

报道称，TikTok表示，将从今年起把用户数据转移到新的欧洲数据中心，预计这一过程将在2024年前完成。该公司预计每年将投入12亿欧元（1欧元约合7.35元人民币——本网注）支持前述3个数据中心的运转。

 02  

NDSS Symposium 2023举行

NDSS网络与分布式系统安全会议（the Network and Distributed System Symposium, NDSS )，是国际公认的网络和系统安全四大顶级学术会议（BIG4）之一，第三十届会议于2023年2月27日到3月3日，在美国圣迭戈举办。

 03  

美国《国家网络安全战略》出台

美国当地时间3月2日上午，酝酿已久的美国《国家网络安全战略》出炉。作为美国五年来首份网络安全领域的战略文件，也是拜登政府期间首份相关领域的整合性战略文件，它不仅体现了本届政府在网络安全领域的优先事项，也为拜登政府后半段任期中解决网络威胁的具体方式提供清晰的路线图。

尽管白宫官员曾强调草案并非最终方案，但正式战略文件的五大核心支柱——改善关键基础设施运营商的网络防御、瓦解黑客和犯罪团伙、增强出售给公司的技术的安全性、资助公共投资以支持网络升级、国际合作打击网络犯罪——与先前的草案以及媒体预测存在较多重叠，很大程度上可以视作为先前草案目标与手段的细化，据高级政府官员表示，白宫正在制定一项“实施计划”以进一步明确如何在立法和资金上落实战略内容。

 04  

医疗设备商ZOLL遭网络攻击，100万人敏感信息被泄露

近日，医疗设备制造商ZOLL表示，1月份的一次网络攻击暴露了超过100万人的敏感信息。

在提供给缅因州总检察长的文件中，ZOLL表示事件始于1月28日，当时他们在其内部网络上“检测到异常活动”。该公司补充到，信息是在2月2日被访问的，对该事件的调查正在进行中。

“可能已泄露的信息包括您的姓名、地址、出生日期和社会安全号码。也可能会推断您使用或被考虑使用ZOLL产品。”该公司告诉受害者，“我们咨询了第三方网络安全专家，以协助我们对事件做出响应和补救，并根据法律要求通知了执法部门以及联邦和州监管机构。”

医疗设备巨头 Zoll 总部位于美国马萨诸塞州，但在加利福尼亚州、科罗拉多州、明尼苏达州、新泽西州、宾夕法尼亚州、罗德岛州和威斯康星州开发产品，产品销往 140 多个国家 / 地区，其中在中国上海有其分部。

此前，ZOLL曾在2018年、2019年两次宣布数据泄露。2018年，ZOLL声称供应商负责在服务器迁移过程中暴露电子邮件服务器，服务器被暴露了七周，在此期间黑客访问了它并查看了数据。该漏洞影响了近300,000人，并泄露了医疗信息和社会安全号码，最终导致他们在一年后起诉IT供应商梭子鱼网络。2019年，ZOLL由第三方存档的电子邮件在供应商的服务器迁移过程中暴露。该公司发布了一份详细说明数据曝光的新闻稿，暴露的信息包括患者姓名、地址、出生日期和部分医疗信息，一些患者的身份证信息也被暴露。发现泄露事件后，ZOLL立即启动了内部审查，277,319名患者受到此事件影响。

 05  

美国一机构发生“重大数据外泄”，数百名国会议员受影响

据美联社3月9日报道，美国联邦调查局8日称，美国政府工作人员统一使用的健康保险出现安全漏洞，导致数百名国会议员及其家人的敏感信息被盗，成千上万的人可能因此受到影响。

根据路透社看到的一封众议院首席行政事务官凯瑟琳·斯平多尔致国会议员的信称，哥伦比亚特区健康保险网站的“重大数据外泄”可能暴露了数千名登记者的个人信息。

BleepingComputer发现，至少有一个威胁攻击者在黑客论坛上出售这些窃取来的美国众议院议员信息。目前，黑客论坛上正在出售一份带有数据库标题的被盗数据样本，其中包含大约 170000 名受影响个人的信息，包括他们的姓名、出生日期、地址、电子邮件地址、电话号码、社会保险号码等。

02

国内动态/事件盘点

 01  

中消协发布《2022年个人信息保护领域消费者权益保护报告》

2023年3月8日，中国消费者协会发布《2022年个人信息保护领域消费者权益保护报告》（以下简称“《报告》”）。《报告》从“消费者个人信息保护整体观察”“消费者个人信息保护的新进展”“侵害消费者个人信息的典型表现”3个方面深入分析了2022年消费者个人信息权利保护的基本状况。

 02  

国家数据局将组建，统筹数据资源

据新华社消息，3月7日下午，十四届全国人大一次会议在北京人民大会堂举行第二次全体会议。根据国务院关于提请审议国务院机构改革方案的议案，组建国家数据局。负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等，由国家发展和改革委员会管理。

将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责，国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。

 03  

最高检：依法严惩侵犯公民个人信息犯罪

2023年3月2日，最高人民检察院报道：党的二十大报告强调，加强个人信息保护。非法获取、出售、提供公民个人信息，不但侵犯个人信息安全，而且为电信诈骗、敲诈勒索、非法讨债等违法犯罪提供便利，严重危害公民人身、财产安全。近年来，检察机关以习近平法治思想为指引，深入贯彻落实党中央决策部署，积极推动个人信息保护法、数据安全法等法律法规统一正确实施，不断强化公民个人信息保护力度，依法保障人民群众合法权益，维护社会安全稳定。2022年共起诉侵犯公民个人信息犯罪9300余人。

 04  

公安部公布8起侵犯公民个人信息犯罪典型案例

按照公安部统一部署，全国公安机关网安部门聚焦人民群众反映强烈的各类侵犯公民个人信息违法犯罪活动，依托“净网2022”专项行动，坚持“追源头、打内鬼、端平台”，持续开展严厉打击侵犯公民个人信息犯罪工作，破获一批重大案件，抓获一批犯罪嫌疑人，取得明显成效，有力维护了网络空间安全和社会公共安全。公安部今日公布打击侵犯公民个人信息犯罪8起典型案例。

1、四川公安机关破获王某等人侵犯公民个人信息案。四川公安网安部门侦查查明，犯罪嫌疑人王某等人为牟取非法利益，成立3家助贷催收公司，组建技术团伙利用技术手段非法获取公民个人信息，并以此开展助贷业务，非法获利1000余万元。四川公安机关先后抓获犯罪嫌疑人189名，查获各类非法获取公民个人信息软件工具104款，查获公民个人信息数据一批。

2、江苏公安机关破获黄某等人利用木马程序非法获取公民购物信息案。江苏公安网安部门侦查查明，犯罪嫌疑人黄某等人，勾结快递公司内部员工，通过在公司内部电脑安装木马程序等方式，窃取物流寄递信息，并向境外诈骗分子出售，非法获利2500余万元。江苏公安机关先后抓获犯罪嫌疑人60名，查获快递面单信息数据一批。

3、山东公安机关破获石某等人非法获取公民车辆位置信息案。山东公安网安部门侦查查明，犯罪嫌疑人石某等人成立找车公司，利用技术手段入侵部分停车场收费平台系统，非法获取车辆位置信息并出售，非法获利7000余万元。山东公安机关先后抓获犯罪嫌疑人64名，查获车辆位置信息数据一批。

4、辽宁公安机关破获黄某等人非法获取老年人个人信息推销虚假保健品案。辽宁公安网安部门侦查查明，犯罪嫌疑人黄某成立公司，勾结他人利用技术手段非法获取中老年人信息，组建电话推销团队，通过夸大疗效等话术推销假冒伪劣保健品实施诈骗32万余人次，非法获利350余万元。辽宁公安机关先后抓获犯罪嫌疑人19名，收缴假冒伪劣保健品10余吨，查获相关老年人个人信息一批。

5、内蒙古公安机关破获周某等人非法获取公民人脸信息解封网络账号案。内蒙古公安网安部门侦查查明，犯罪嫌疑人周某等人勾结境外诈骗团伙，非法获取公民人脸信息，为境外诈骗团伙提供账号解封服务，非法获利10余万元。内蒙古公安机关先后抓获犯罪嫌疑人3名。

6、浙江公安机关破获邱某非法获取公民个人信息案。浙江公安网安部门侦查查明，犯罪嫌疑人邱某利用职务之便，使用技术手段非法获取某支付软件用户信息，并伙同他人在境外网上出售，非法获利20余万元。浙江公安机关先后抓获犯罪嫌疑人2名，查获公民个人信息一批。

7、河北公安机关破获刘某等人非法获取公民个人信息案。河北公安网安部门侦查查明，犯罪嫌疑人刘某作为某金融公司负责人，为开展贷款业务，非法向物业公司、银行、保险公司、电信运营商等行业内部人员购买大量有贷款需求人员个人信息，组织员工假冒银行工作人员推销贷款服务，并将公民个人信息转卖，非法获利630余万元。河北公安机关先后抓获犯罪嫌疑人63名，查获公民个人信息一批。

8、江苏网安部门破获石某等人非法获取公民个人信息案。江苏网安部门侦查查明，犯罪嫌疑人石某等人勾结某电力企业外包服务公司工作人员孙某等人，窃取用电居民房产信息，并出售给房屋中介、装修公司人员，非法获利30余万元。江苏公安机关先后抓获犯罪嫌疑人220余名，查获公民个人信息一批。

 05  

宏碁确认服务器被入侵，黑客挂牌出售盗取的 160GB 数据

3 月 8 日消息，电脑制造商宏碁公司确认，有人入侵了其一台服务器，并在网上出售声称是宏碁机密信息的 160GB 数据。

“我们最近发现了一起未经授权访问我们维修技术人员文档服务器的事件，”宏碁发言人周二说，“目前我们的调查仍在进行中，但没有迹象表明该服务器上存储了任何消费者数据。”

据网络犯罪论坛上一个黑客发布的帖子称，从宏碁窃取的“各种机密资料”共计 160GB，包括 655 个目录和 2,869 个文件。

 06  

国内大型支付机构合利宝遭黑客攻击，部分用户使用受影响

3月3日，广州合利宝支付科技有限公司（简称“合利宝”）通过“合利宝商户管家公众号”发布声明，表示在前一日（3月2日）遭到黑客攻击，该攻击造成了个别交易的响应速度变慢，影响部分用户的体验。

合利宝遭遇攻击后，立即组织技术人员对系统进行全流程检测和风险排查，并在第一时间对相关攻击进行了处理，确保用户各类交易正常进行，同时已将攻击线索搜集好上报了公安部门。公开资料显示，合利宝成立于2013年7月19日，总部位于广州。2014年7月10日获得人民银行颁发的《支付业务许可证》，业务类型包含互联网支付、移动电话支付、银行卡收单业务（全国）。

 07  

政策资讯

1、证监会发布《证券期货业网络和信息安全管理办法》

为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求，规范证券期货业网络和信息安全管理，防范化解行业网络和信息安全风险，维护资本市场安全平稳高效运行，证监会制定并发布了《证券期货业网络和信息安全管理办法》（以下简称《办法》）。《办法》将于2023年5月1日起正式实施。证监会将组织开展相关专项培训，持续做好督导落实。《办法》规定的参照适用主体无需报送《办法》第五十九条规定的网络和信息安全管理年报。关于参照适用主体落实《办法》第二十条规定的数据备份义务，中国证监会将指导有关行业协会进一步细化有关要求。

2、《云南省数字政府建设总体方案》发布

近日，云南省人民政府印发《云南省数字政府建设总体方案》(以下简称《方案》)。《方案》提出，到2025年，全省数字政府体系框架基本完善、统筹协调机制建立健全，政府数字化履职能力、安全保障、制度规则、数据资源、平台支撑等数字政府体系框架基本形成。

数字政府技术架构包括“四横三纵”七大体系。“四横”即业务应用体系、共性应用支撑体系、数据资源体系、基础设施体系，“三纵”即安全保障体系、制度标准体系、运行维护体系。

3、浙江省发布全国首个数字乡村建设省级地方标准

2023年3月8日，浙江省市场监督管理局发布公告，由浙江省委网信办牵头，德清县人民政府为主要起草单位的《数字乡村建设规范》（以下简称“《规范》”）省级地方标准正式发布，并将于2023年3月29日开始实施。这也是全国首个县域数字乡村工作省级地方标准。

来源：信息安全国家工程研究中心

| 往期推荐：

标准 | 2025-2028年网络安全标准化热门领域展望

精读 | 数实融合的第三次浪潮（2023）

全文！国新办发布《新时代的中国网络法治建设》白皮书，着眼网络安全、数据安全

55份全国两会提案，建言数字经济与安全

国际观察 | 美空军研究实验室战争研讨会上展示新技术集锦

视频专访 | 邬江兴：打造6G网络弹性工程“钢筋骨架”，构建6G内生安全可信体系

原文始发于微信公众号（内生安全联盟）：聚焦！近期国内外网络安全事件盘点