2021年3月26日,山東網安部門在工作中發(fā)現��,某電商平臺近19萬條訂單數據�����,包括收件人���、聯(lián)系電話�����、收貨地址�����、商品信息等����,疑似泄露����。
發(fā)現此情后,山東網安部門立即成立調查小組趕赴該電商平臺���,開展現場勘查���、追蹤溯源、質詢問話等工作���。
經查��,該電商平臺共有5臺某云服務器��,公司內部沒有物理機房���。
在這5臺云服務器里,有4臺集群服務器���、1臺源碼服務器�����,購買的是某云負載均衡服務�,但未購買任何網絡安全設備或云安全服務,也未采取任何安全防護措施���,后臺管理權限存在弱口令漏洞���。
簡單說,這平臺把數據往云上一存�����,然后連門都不鎖���,大敞四開就這么放著��。
那該電商平臺違法了嗎�?
當然違法了�����!
經進一步工作確認��,在此次數據泄露中�����,該公司犯了以下錯誤:
①系統(tǒng)服務器和應用程序網絡安全技術措施不合格,無安全防范設備和安全服務�����;
②管理賬戶弱口令并且缺失管理賬戶錯誤登錄鎖定及IP登錄限定等功能�����。
就這樣���,公司的疏漏導致站點集群服務器遭到網絡黑客攻擊,存放大量用戶訂單信息的集群服務器數據庫被拖庫����,同時因其負載均衡服務未開啟記錄功能,無法進一步溯源工作����。
該公司只圖經濟利益,不考慮信息安全����,不采取安全存儲措施,最終的結果就是��,云存儲反而變成了不法分子手中的共享資源!
查明情況后�,山東網安部門依據《網絡安全法》第21、59條���,對該公司作出單位罰款1萬元���、相關責任人罰款5000元的行政處罰,并責令其限期整改��。
同時����,對網絡黑客的非法訪問及侵害公民個人信息的行為,網安部門已將其立為刑事案件�,同步開展一案雙查工作。
警方提示
《中華人民共和國網絡安全法》
第二十一條
國家實行網絡安全等級保護制度�。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務�,保障網絡免受干擾、破壞或者未經授權的訪問�����,防止網絡數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規(guī)程����,確定網絡安全負責人,落實網絡安全保護責任�����;
(二)采取防范計算機病毒和網絡攻擊��、網絡侵入等危害網絡安全行為的技術措施����;
(三)采取監(jiān)測��、記錄網絡運行狀態(tài)�����、網絡安全事件的技術措施���,并按照規(guī)定留存相關的網絡日志不少于六個月��;
(四)采取數據分類���、重要數據備份和加密等措施���;
(五)法律、行政法規(guī)規(guī)定的其他義務���。
第五十九條 網絡運營者不履行本法第二十一條�����、第二十五條規(guī)定的網絡安全保護義務的�����,由有關主管部門責令改正�,給予警告���;拒不改正或者導致危害網絡安全等后果的�����,處一萬元以上十萬元以下罰款�,對直接負責的主管人員處五千元以上五萬元以下罰款�����。
網絡運營者不論是采取委托開發(fā)或是云防護的安全模式,都是網絡安全防護責任的主體���,不能因為服務器都在云上而逃避網絡安全的主體責任�����。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
