2025年,北京市网信办查处了部分因未依法履行数据安全保护义务的企业。这些企业的相关系统、服务器或数据库存在未授权访问漏洞和弱口令漏洞等问题,造成了数据被窃取。以下是两起典型案例:- 北京某科技公司技术人员缺乏数据安全保护意识,未对后台业务系统的接口配置访问控制和身份认证等安全措施,导致系统存在未授权访问漏洞,使储存的姓名、身份证号、手机号等个人信息数据暴露于互联网,并被境外IP访问窃取。- 北京某有限公司为方便系统测试,将ES数据库的9200端口对外开放且未限制访问,导致ES数据库存在未授权访问漏洞,使储存于其中的姓名、手机号等个人信息数据暴露于互联网,并被境外IP访问窃取。以上两家企业均未依法履行数据安全保护义务,未建立健全全流程数据安全管理制度,相关系统未采取技术措施和其他必要措施保障数据安全,造成部分个人信息数据遭窃取。北京市网信办依法对两家公司作出警告,并分别处以五万元罚款的行政处罚。此外,2023年以来,北京市公安局网安部门也对多家不履行网络安全保护义务的单位依法予以处罚。例如,昌平某生物技术有限公司委托的软件公司在开发系统互联网测试阶段,未对相关数据进行加密,未落实安全保护措施,导致数据泄漏。朝阳某教育公司因技术人员在系统测试过程中,将有权限的测试账号设为弱口令,且系统正式使用后未将测试账号进行清空删除处理,导致数据被泄漏到境外非法网站上。海淀某教育公司教务排课系统在账号密码传输前未进行加密传输,存在账号密码爆破的可能,造成数据泄漏。这些案例表明,企业在开展业务过程中,必须重视数据安全保护,依法履行数据安全保护义务,建立健全全流程数据安全管理制度,采取有效的技术措施和其他必要措施保障数据安全,否则将面临法律责任。
|
|
|手机版|标签|新闻移动网xml|新闻移动网txt|全球新闻资讯汇聚于 - 新闻移动网
( 粤ICP备2024355322号-1|
粤公网安备44090202001230号 )
