2023年8月安全事件及其防范
发布时间:2023-09-12
汇总本月发生的重大安全事件,分析事件的发生原因、影响和对应解决方案,可提高对相应事件的应对能力,实现“防患于未然”。
事件概况:
小辉哥火锅世博源店在消费者点菜页面上没有就消费者隐私政策作出任何提示,在消费者扫码提交订单后,自动跳转链接至“会员登录”页面,仅提供“微信一键登录”选项,强制要求消费者“同意并已阅读《会员条款》《隐私条款》”、接受“小辉哥点餐”获取并验证消费者手机号码、提供非必要的个人信息、注册会员,否则无法进行下一步操作。“小辉哥点餐”微信小程序还存在隐私政策链接失效等问题。
针对上述问题,8月17日,上海市网信办联合市市场监管局、企业运营地网信办依法约谈“小辉哥”,要求立即整改,同时建立健全消费者个人信息保护长效机制。
小辉哥火锅于8月18日发布公告:
如何防范:
管理上:
1、隐私政策和合规培训: 更新隐私政策,确保其遵守相关法规,并为员工提供合规培训,以提高他们的隐私意识。
2、透明沟通: 向受影响的个人透明地沟通违规行为,并提供有关数据处理的清晰信息,包括如何撤销同意或请求数据删除。
3、监控和审查: 建立持续监控机制,定期审查合规性,确保违规行为不再发生。
4、制定改进计划: 制定整改计划,包括持续改进数据处理和隐私保护措施,以确保合规性。
技术上:
1、数据分类和清理: 对已经收集的数据进行分类,确定哪些是敏感信息,采取适当的措施来保护这些信息,例如加密、伪装或匿名化。
2、数据安全和加密: 采取适当的数据安全措施,包括加密、访问控制、身份验证和授权,以确保数据在存储和传输过程中的安全。
3、合规工具和技术: 考虑使用数据合规工具和技术,以监控数据收集活动并确保其合规性。
泄露数据:3万余教职工、学生个人敏感信息
事件概况:
经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。
南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
如何防范:
管理上:
1、建立隐私政策和行为准则: 学校应制定明确的隐私政策和行为准则,规定管理人员保护师生个人隐私安全。
2、限制访问权限: 对师生信息进行访问权限控制,确保只有有关部门和人员才能访问特定的敏感信息,实行最小权限原则。
3、监控和审计: 建立监控和审计机制,对师生信息的访问和使用进行定期审计,及时发现不当行为并采取措施。
4、培养技术人员:定期为员工提供安全培训和教育,提高他们对敏感数据保护的意识。
技术上:
1、身份验证和访问控制: 对学生信息系统实施强制的身份验证措施,例如双因素认证,确保只有授权用户可以访问信息。
2、加密技术: 对存储在数据库或传输过程中的敏感信息进行加密,即使数据被窃取,黑客也无法解读其中内容。
3、数据分类和隔离: 将不同级别的学生信息进行分类,确保敏感信息只能在需要的情况下被访问,对于其他学生不可见。
4、日志记录和监控: 记录学生信息系统的日志,并设置监控机制,对异常访问行为进行检测和报警。
5、数据遗漏防护(DLP): 使用数据遗漏防护系统,监控学生信息的传输,防止敏感信息在未授权的情况下外泄。
6、安全漏洞修复: 定期检查和修复系统中的安全漏洞,确保学生信息系统不易被黑客利用。
2.1 “小辉哥”违规收集个人信息
事件日期:2023-08-17事件概况:
小辉哥火锅世博源店在消费者点菜页面上没有就消费者隐私政策作出任何提示,在消费者扫码提交订单后,自动跳转链接至“会员登录”页面,仅提供“微信一键登录”选项,强制要求消费者“同意并已阅读《会员条款》《隐私条款》”、接受“小辉哥点餐”获取并验证消费者手机号码、提供非必要的个人信息、注册会员,否则无法进行下一步操作。“小辉哥点餐”微信小程序还存在隐私政策链接失效等问题。
针对上述问题,8月17日,上海市网信办联合市市场监管局、企业运营地网信办依法约谈“小辉哥”,要求立即整改,同时建立健全消费者个人信息保护长效机制。
小辉哥火锅于8月18日发布公告:
如何防范:
管理上:
1、隐私政策和合规培训: 更新隐私政策,确保其遵守相关法规,并为员工提供合规培训,以提高他们的隐私意识。
2、透明沟通: 向受影响的个人透明地沟通违规行为,并提供有关数据处理的清晰信息,包括如何撤销同意或请求数据删除。
3、监控和审查: 建立持续监控机制,定期审查合规性,确保违规行为不再发生。
4、制定改进计划: 制定整改计划,包括持续改进数据处理和隐私保护措施,以确保合规性。
技术上:
1、数据分类和清理: 对已经收集的数据进行分类,确定哪些是敏感信息,采取适当的措施来保护这些信息,例如加密、伪装或匿名化。
2、数据安全和加密: 采取适当的数据安全措施,包括加密、访问控制、身份验证和授权,以确保数据在存储和传输过程中的安全。
3、合规工具和技术: 考虑使用数据合规工具和技术,以监控数据收集活动并确保其合规性。
2.2 南昌某高校发生数据泄露案件
事件日期:2023-08-17泄露数据:3万余教职工、学生个人敏感信息
事件概况:
经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。
南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
如何防范:
管理上:
1、建立隐私政策和行为准则: 学校应制定明确的隐私政策和行为准则,规定管理人员保护师生个人隐私安全。
2、限制访问权限: 对师生信息进行访问权限控制,确保只有有关部门和人员才能访问特定的敏感信息,实行最小权限原则。
3、监控和审计: 建立监控和审计机制,对师生信息的访问和使用进行定期审计,及时发现不当行为并采取措施。
4、培养技术人员:定期为员工提供安全培训和教育,提高他们对敏感数据保护的意识。
技术上:
1、身份验证和访问控制: 对学生信息系统实施强制的身份验证措施,例如双因素认证,确保只有授权用户可以访问信息。
2、加密技术: 对存储在数据库或传输过程中的敏感信息进行加密,即使数据被窃取,黑客也无法解读其中内容。
3、数据分类和隔离: 将不同级别的学生信息进行分类,确保敏感信息只能在需要的情况下被访问,对于其他学生不可见。
4、日志记录和监控: 记录学生信息系统的日志,并设置监控机制,对异常访问行为进行检测和报警。
5、数据遗漏防护(DLP): 使用数据遗漏防护系统,监控学生信息的传输,防止敏感信息在未授权的情况下外泄。
6、安全漏洞修复: 定期检查和修复系统中的安全漏洞,确保学生信息系统不易被黑客利用。
上一篇:2023年7月安全事件及其防范 下一篇:2023年8月份漏洞通告
返回列表
