网络安全 匹夫有责

前事不忘 后事之师回顾2021年我国网络安全大事

1.1数据泄露事件

1.1.1疑似超 2亿国内个人信息在国外暗网论坛兜售

1 月 5 日，国外安全研究团队 Cyble 发现多个帖子正在出售与中国公民有关的个人数据，经分析可能来自微博、QQ 等多个社交媒体，本次发现的几个帖子中与中国公民有关的记录总数超过 2 亿。其中还发现了大量湖北省“公安县”的公民数据。

其中一个帖子，威胁者公布了公安县 999 名中国公民的户口登记样本数据，

以作为黑客攻击的证据。并表示共有 730 万中国公民的数据可供出售，包括身份证，性别，姓名，出生日期，手机号，地址和邮编等记录。

1.1.2全国首例适用民法典的个人信息保护案宣判

1 月 8 日，杭州互联网法院公开审理并宣判全国首例适用民法典的个人信息

保护案。被告孙某未经他人许可，在互联网上公然非法买卖、提供个人信息 4 万

余条，导致相关人员信息长期面临受侵害风险，被判处赔偿违法所得 34000 元， 并公开道歉。

1.1.3国内某银行疑似发生数据泄露高达 1679万条

1 月 8 日，有人在某国外论坛中发帖售卖国内某银行 1679 万笔数据，并放出部分数据样本，数据包括名字、性别、卡号、身份证号、手机号码、所在城市、联系地址、工作单位、邮编、工作电话、住宅电话、卡种、发卡行等等。

1.1.4为拿回扣泄露 3万条客户信息，建行某客户经理被判刑

湛江银保监分局于 2021 年 1 月 8 日开出两张罚单，剑指建设银行湛江市分

行存客户信息安全管理不到位的违规行为，对该行作出罚款 20 万元的行政处罚。

此外，涉事人王某因泄露客户信息，被禁止从事银行业工作 1 年。

裁判文书以及相应罚单显示，2017 年至 2018 年期间，王某将共计 31465 条

客户信息出售至贷款公司，获利 3.6 万。而上述信息则被相关贷款公司用于拨打电话并推销贷款业务信息，从事不正当竞争。最终，王某被法院判处有期徒刑八个月。而王某所在的建行湛江分行也因信息安全管理不到位被罚 20 万。

1.1.5网贷公司侵犯个人信息被罚 320万

1 月 15 日，中国裁判文书网公布一份判决书，北京智借公司、贤某某等在未取得受害人同意的情况下，向下游多家公司出售包含姓名、身份证号、手机号等个人信息，因犯侵犯公民个人信息罪，被判处罚金 320 万元。买房涉及平安普惠、拍拍贷、你我贷等多家知名公司。

1.1.6中国初创公司 Socialarks泄露 400GB数据，影响全球 2

亿多用户

安全公司 Safety Detectives 发现，中国初创公司 Socialarks（笨鸟社交） 泄露了 400GB 数据。此次数据泄露是由于 ElasticSearch 数据库设置错误，泄露了总计 408GB，超过 3.18 亿条用户记录，涉及到 11651162 个 Instagram 用户、66117839 个领英用户和 81551567 个 Facebook 用户。值得注意的是，Socialarks

在 2020 年 8 月也发生了类似的事件，泄露了 1.5 亿个用户的个人数据。

1.1.7镇江丹阳 30人贩卖 6亿条个人信息获利 800余万

1 月 24 日，镇江丹阳警方侦破一起公安部督办的侵犯公民个人信息案，涉

及 10 多个省市，抓获犯罪嫌疑人 30 名。该团伙采用境外聊天工具和区块链虚拟

货币收付款，共贩卖个人信息 6 亿余条，违法所得 800 余万元。

1.1.8农行因数据安全、网络安全被罚

1 月 29 日，银保监会开出 2021 年第一张罚单，中国农业银行因涉及发生重要信息系统突发事件未报告、农行因发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚420 万人民币。

1.1.9央视曝 App偷听隐私语音发出后录音还在继续

1 月 31 日，央视节目中专家用模拟“App 偷听测试程序”发送一个 2 秒的语

音，当手松开后，录音仍在继续，并生成一条 120 秒的语音，证实了当测试程序置于前台运行时，偷听是可以实现的。此外经过对比实验，发现在测试程序退至后台或在手机锁屏时，录音依然可持续一段时间。

1.2网络攻击事件

1.2.1多个行业感染 incaseformat病毒

1 月 13 日，国内多家安全厂商检测到蠕虫病毒 incaseformat 在国内大范围爆发，涉及政府、医疗、教育、运营商等多个行业，且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除，对用户造成不可挽回的损失。

2.1网络攻击事件

2.1.1针对农信社和城商行的短信钓鱼攻击

自春节起，全国多地市连续发生通过群发短信方式，以手机银行失效或过期等为由，诱骗客户点击钓鱼网站链接而盗取资金的安全事件。天际友盟检测发现

大批钓鱼网站在 2 月 9 日后被注册并陆续投入使用，钓鱼网站域名为农信社、城商行等金融机构客服电话+字母，或与金融机构网站相似域名的形式，多为境外域名注册商注册并托管。

3.1数据泄露事件

3.1.1西山居旗下逍遥网遭攻击致数据泄露

3 月 2 日，西山居游戏发公告称，西山居旗下产品屡遭不法分子 DDos 攻击、服务器入侵，导致部分用户账号和加密后的非明文密码等信息外泄，官方建议第一时间修改安全等级偏低的短位密码。

3.1.2全国首例利用

3 月 3 日，南通通州公安对全国首例利用

3.1.3315曝光人脸信息滥用、简历泄露等乱象

3 月 15 日，央视 315 曝光三个涉及个人信息安全案例：商家安装摄像头捕捉记录顾客人脸信息，多门店共享并进行综合报价；智联招聘、猎聘等平台简历给钱就可随意下载，大量简历流入黑市；许多针对老年人开发的手机清理 App 背地里不断获取手机信息，并推送带有欺骗套路的内容。

3.1.4中信银行因泄露客户信息被罚 450万元

3 月 19 日，银保监会消保局公布的罚单显示中信银行因“未经客户本人授

权查询并向第三方提供其个人银行账户交易信息”，被重罚 450 万元。有消息称，

该罚单疑似为 2020 年 5 月，脱口秀艺人池子举报中信银行违规私自对外提供其银行流水信息事件的处罚结果。

3.1.5中国台湾 PC制造厂商宏碁遭到黑客入侵被勒索赎金

5000万美元，赎金约合人民币 3.25亿元创下最高纪录

3 月，REvil 勒索软件团伙在其数据泄露站点上宣布他们已经成功入侵宏碁的系统，并同时公布了几张作为证据的被盗文件截图。

在相关报道发布之后，LegMagIT 的 ValeryMarchive 发现了此次宏碁攻击事件中使用的 REvil 勒索软件样本，可以看到威胁方开出的赎金高达 5000 万美元。

不久之后，有关企业也找到了这份样本，并根据赎金记录与双方沟通内容确认了该样本确实来自宏碁遇袭事件。

4.1数据泄露事件

4.1.1中国台湾广达电脑公司造黑客入侵遭到勒索

4 月，REvil 团伙称，他们已经成功入侵台湾广达电脑公司。作为全球规模最大的笔记本电脑代工商之一，广达电脑参与到苹果官方产品的设计与组装流程当中，最终导致苹果产品数据及设计图落入攻击者手中。

遵循勒索活动的一贯套路，REvil 团伙在在某暗网门户网站上发表帖子，表示广达电脑拒绝赎回这批失窃数据，因此 REvil 决定转而将矛头指向信息内容涉及的各家主要客户。Evil 团伙共发布了 21 张 Macbook 产品设计图，并威胁除非苹果或广达电脑支付赎金，否则他们将每天披露更多新数据。

5.1数据泄露事件

5.1.1“优大人”爬取淘宝直播数据案【(2021)沪****刑初 148号】

上海益采信息技术有限公司是一家业务内小有知名度的公司，成立于 2009

年，但就在 2021 年 5 月，上海市徐汇区法院，判决公司的创始人李某构成非法获取计算机信息系统数据罪，主要理由为，该公司未经淘宝(中国)软件有限公司授权许可的情况下，由被告人李某决策通过非法手段抓取淘宝直播数据，并通过益采公司开发的“优大人”小程序出售牟利。在李某的授意下，益采公司部门负责人被告人王某、高某等人分工合作，以使用 IP 代理、“X-sign”签名算法等手段突破、绕过淘宝公司的防护机制，再通过数据抓取程序(俗称“爬虫”)大量抓取淘宝公司存储的各主播在淘宝直播时的开播地址、销售额、观看 PV、UV 等数据。

5.1.2建行某员工因泄露、出售公民个人信息触犯刑法，行政处罚 30万

5 月份建设银行建德支行因员工违规查询、泄露客户信息以及未按规定报送

涉刑案件（风险）信息，被罚 30 万，徐驰作为员工违规查询、泄露客户信息违

规行为的直接责任人被罚禁止从事银行业工作 5 年。

5.2网络攻击事件

5.2.1澳门卫生局电脑系统遭恶意攻击

中新社澳门 5 月 7 日电，澳门特区政府卫生局公布，7 日上午约 10 时 30 分，发现电脑系统遭到恶意网络攻击，影响健康码、医疗券、新冠病毒疫苗和核酸检

测等系统的正常运作。经卫生局与澳门电讯有限公司紧急抢修后，所有电脑系统现已恢复正常。

卫生局表示，发现问题时，已实时启动应变方案，立即进行系统抢修，同时通知各口岸临时改用粤康码通关，进入医疗场所改用纸质健康码等。

6.1数据泄露事件

6.1.12021年 6月 17日淘宝近 12亿条用户数据遭泄露

2021 年 6 月 17 日消息，商丘市睢阳区人民法院在裁判文书网，公开了一份

刑事判决书，显示一名住在河南商丘市的本科毕业的大学生逯某自 2019 年 11 月起，对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前，已经有 1180738048 条用户信息泄露。

6.1.2员工非法查询、泄露客户账户交易信息，农行一分支机构被罚 20万

6 月 24 日，中国银保监会阜阳监管分局发布的行政处罚信息显示，中国农业银行股份有限公司太和旧县分理处因员工非法查询、泄露客户账户交易信息， 被处罚款 20 万元。时任中国农业银行股份有限公司太和旧县分理处内勤主管刘杰、分理处副主任杨柳也因负直接责任被给予警告的处罚。

7.1数据泄露事件

7.1.12021年 7月 2日滴滴事件

7 月 2 日，国家网信办发布公告称，为防范国家数据安全风险，维护国家安全，保障公共利益，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。7 月 4 日晚，国家网信办发布通报称，根据举报，经检测核实，“滴滴出行”App 存在严重违法违规收集使用个人信息问题，通知应用商店下架“滴滴出行”App。

7.2网络攻击事件

7.2.1西安市首例破坏医院计算机信息系统案

中新网西安 7 月 29 日电，29 日从西安市公安局莲湖分局获悉，公安莲湖分

局近日成功侦破一起黑客类网络攻击犯罪案件，抓获犯罪嫌疑人 1 名，查获作案

用电脑 1 台、手机 1 部、硬盘 1 个。该案是公安莲湖分局侦破的首例破坏医院计算机信息系统案。

2021 年 5 月 15 日，莲湖区某医院负责人报案称，自 2021 年 3 月起，该院网络系统持续出现故障，导医台、诊室系统等网络设备无法正常联网，医院诊疗秩序受到破坏。经院方网络工程师初步排查，医院网络系统重要文件疑似被人为更改，诊疗系统全面瘫痪。

经审查，犯罪嫌疑人白某某系该院前网络系统管理员，因对院方不满萌生报复心理，遂利用自学网络知识，非法入侵医院内网服务器，远程进行破坏性操作。犯罪嫌疑人白某某对其破坏计算机系统的犯罪事实供认不讳。

8.1数据泄露事件

8.1.12021年 8月 23日阿里云用户数据被泄露

8 月 23 日，阿里云用户注册信息泄露事件引发广泛

阿里云的信息泄露事件或将引发用户对阿里集团信息安全问题的担忧。对此， 有律师表示责任人该行为除了要负行政责任、民事责任外，还有可能涉嫌侵害公 民个人信息罪的刑事责任。

8.1.2中国台湾电脑巨头技嘉遭勒索软件攻击，上百 GB数据失窃

中国台湾计算机硬件供应商技嘉遭遇 RansomExx 勒索软件攻击，黑客一方表示除非受害者接受他们提出的赎金要求，否则会将超过 112GB 签署保密协议的商业数据发布在暗网之上，涉及英特尔、AMD 等合作伙伴。作为一家以高性能主板而闻名的硬件厂商，技嘉公司位于台湾的系统被迫关闭，多个网站受到影响。一位发言人表示，此次攻击并未影响技嘉的生产系统。只有台湾总部的几台内部服务器遭到入侵，而且目前已经被关闭和隔离。

9.1数据泄露事件

9.1.1小鹏汽车擅自采集上传 43万张人脸照片，被罚 10万元

据行政处罚决定书显示，上海小鹏汽车销售服务有限公司购买了具有人脸识

别功能的摄像设备 22 台，全部安装在旗下门店，涉及 5 个直营店及 2 个加盟店，

开通系统账号 8 个，2021 年 1 月至 6 月期间，共计采集上传人脸照片 431623 张。通过算法对面部数据进行识别计算，以此进行门店的客流统计和客流分析，包括进店人数统计、男女比例、年龄分析等。采集消费者面部识别数据，并未经得消费者同意，也无明示、告知消费者收集、使用目的。截至案发，上海小鹏汽车销售服务有限公司已拆除上述门店内的人脸识别摄像设备，上传的人脸照片已进行删除。

徐汇区市场监督管理局向上海小鹏汽车销售服务有限公司送达《行政处罚听证告知书》后，该公司于 2021 年 9 月 28 日向徐汇区市场监督管理局提出听证申请。经听证，鉴于上海小鹏汽车销售服务有限公司具有符合《中华人民共和国行政处罚法》规定的主动消除或者减轻违法行为危害后果的情形，根据《中华人民共和国行政处罚法》第三十二条的相关规定，应在原处罚裁量基础上从轻处罚。

上海小鹏汽车销售服务有限公司的上述行为违反了《中华人民共和国消费者权益保护法》第二十九条第一款的规定。徐汇区市场监督管理局依据《中华人民共和国消费者权益保护法》第五十六条第一款第（九）项以及《中华人民共和国行政处罚法》第三十二条的规定，责令其改正违法行为，并作出罚款 10 万元的行政处罚决定。

暂未统计到。

11.1数据泄露事件

11.1.12021 年 11 月 19 日国家保密局发文警惕工作群

国家保密局发文《

如果业务工作是 100 分，保密工作是 1 分，那么 100 减 1 并不等于 99，而只能是 0。文章列举了 3 个由于

1. 青岛夫妻唱双簧倒卖股民信息近 4 万条，被公益诉讼追偿

夫妻唱双簧倒卖股民信息近 4 万条，致众多公民个人信息被泄露，社会公共利益受到损害，买卖房三人再被公益诉讼追偿。11 月 23 日，青岛市人民检察院提起的青岛首起侵犯公民个人信息民事公益诉讼案开庭，法院庭审后将择日宣判。

12.1数据泄露事件

12.1.1世纪佳缘员工滥用职权查阅用户信息

世纪佳缘通过后台可以随意查看会员的个人信息，包括会员浏览的异性照片记录，以及发送的所有聊天记录。12 月 7 日，世纪佳缘通过其官方微博发布致歉声明，回应“一线下门店会员个人隐私信息在后台裸奔”等问题。同日稍早， 澎湃新闻发布调查报道，指出世纪佳缘通过后台可以随意查看会员的个人信息， 包括会员浏览的异性照片记录，以及发送的所有聊天记录。

致歉声明称，“实际工作中出现了滥用职权查阅用户信息的严重违规行为”，已第一时间成立专项工作小组，已经在对报道中反映的问题进行核查，已经在后台开始去除此功能。

12.2网络攻击事件

12.2.12021 年 12 月 9 日晚，Apache Log4j2 高危 JNDI 注入漏洞曝光

2021 年 11 月 24 日，阿里云安全团队向 Apache 官方报告了 Apache Log4j2

远程代码执行漏洞。ApacheLog4j2 是一个用于 Java 的日志记录库，其支持启动远程日志服务器。由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置， Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等均受影响。攻击者通过jndi 注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了 2.15.0 和 2.15.0-rc1 新版本修复，依然未能完全解决问题，目前已经更新到 2.16.0。该漏洞被命名为 Log4Shell，编号 CVE-2021-44228。

10