1.廣東某科技股份有限公司網頁篡改案。網信部門工作發現，該企業用於業務審批等的辦公協作平臺登錄頁面被篡改為違法有害內容。經查，該企業涉事系統存在任意文件上傳漏洞，遭受勒索軟體攻擊，該企業當天發現後僅重裝系統，未修復系統漏洞。其後，攻擊者利用該漏洞上傳遠端控制木馬，將登錄頁面篡改為違法有害內容。該企業未依法履行網路安全保護義務，未採取必要技術措施保障網路安全，未及時修復系統漏洞，造成網頁篡改後果，違反《網路安全法》相關規定。屬地網信辦已依法責令其改正，並予以警告、罰款處罰。

  2.新疆某網際網路科技有限公司網頁篡改案。網信部門工作發現，該企業門戶網站及開發運維的8個網站子頁面被篡改為涉賭違法資訊。經查，該企業上述網站存在安全缺陷和漏洞，相關網頁源代碼php文件被惡意篡改，出現涉賭違法資訊。事件發生時，網站管理員休假不在崗，網站處於無人管理狀態。該企業作為網路産品、服務提供者，未及時發現其開發的網站存在安全缺陷和漏洞，未立即採取補救措施，未按照規定及時告知用戶並向主管部門報告，違反《網路安全法》相關規定，屬地網信辦已依法責令其改正，並予以警告處罰。

  3.山東某醫學檢驗有限公司數據洩露案。網信部門工作發現，該企業某系統相關數據被搜索引擎爬蟲爬取。經查，涉事系統開啟目錄瀏覽功能，存在目錄遍歷和未授權訪問漏洞，未正確配置防火牆入侵防護策略，未按照規定留存相關網路日誌。相關搜索引擎爬蟲通過遍歷請求爬取了網站組織架構和文件，導致系統相關數據洩露。該企業未依法履行網路安全、數據安全保護義務，涉事系統未依法留存相關網路日誌，未採取技術措施和其他必要措施保障數據安全，造成數據洩露後果，違反《網路安全法》《數據安全法》《網路數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正，並予以警告、罰款處罰。

  4.浙江某科技股份有限公司數據被竊取案。網信部門工作發現，該企業FTP系統相關數據被竊取。經查，該企業為方便共用、列印系統文件，將涉事系統設置為允許匿名訪問，並設置雲伺服器安全組規則不生效，長期存在未授權訪問漏洞，導致涉事系統相關數據被竊取。該企業未依法履行網路安全、數據安全保護義務，涉事系統未採取技術措施和其他必要措施保障數據安全，造成數據被竊取後果，違反《網路安全法》《數據安全法》《網路數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正，並予以警告、罰款處罰。

  5.重慶某科技公司數據被竊取案。網信部門工作發現，該企業用於汽車租賃服務的“OA資訊系統”相關數據被竊取。經查，該企業涉事系統3306端口開放MySQL數據庫服務，未設置用戶密碼，存在弱密碼漏洞，導致涉事系統相關數據被先後竊取159次。該企業未依法履行網路安全、數據安全保護義務，涉事系統未採取技術措施和其他必要措施保障數據安全，造成數據被竊取後果，違反《網路安全法》《數據安全法》《網路數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正，並予以警告、罰款處罰。

  6.廣東某保險代理有限公司數據被竊取案。網信部門工作發現，該企業提供保險代理服務的後臺系統相關數據被竊取。經查，該企業涉事系統存在越權遍歷訪問漏洞，攻擊者可通過遍歷URL ID的方式批量獲取數據，且該企業購買的雲防火牆服務已過期，未按照規定留存相關網路日誌，導致涉事系統相關數據被竊取。該企業未依法履行網路安全、數據安全保護義務，涉事系統未依法留存相關網路日誌，未採取技術措施和其他必要措施保障數據安全，造成數據被竊取後果，違反《網路安全法》《數據安全法》《網路數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正，並予以警告、罰款處罰。

  7.湖南某科技股份有限公司數據存在洩露安全風險案。網信部門工作發現，該企業內網數據庫相關數據存在洩露安全風險。經查，該企業內網數據庫存在未授權訪問漏洞和弱密碼漏洞，某軟體研發工程師為工作便利，將合作項目中掌握的大量用戶數據拷貝至企業內網數據庫，並打開企業內網的公共網際網路訪問端口，導致內網數據庫相關數據暴露在網際網路上。該企業未依法履行網路安全、數據安全保護義務，未建立網路安全和數據安全管理制度，涉事系統未採取技術措施和其他必要措施保障數據安全，存在數據洩露安全風險，違反《網路安全法》《數據安全法》《網路數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正，並予以警告、罰款處罰。

  8.北京某科技有限公司運營的App超範圍收集個人資訊案。網信部門工作發現，該企業運營的App違反必要原則，收集與其提供的服務無關的個人資訊。經查，該企業開發的App在用戶未使用任何功能情況下，後臺運作時收集上傳用戶應用程式安裝、卸載資訊。用戶使用上傳AI頭像等功能時，調用非必要存儲許可權。相關行為超出了實現個人資訊處理目的最小必要範圍，違反《網路安全法》《個人資訊保護法》《網路數據安全管理條例》等法律法規。屬地網信辦已依法責令其改正，並予以警告、罰款處罰。

  9.上海某科技有限公司違法違規收集人臉資訊案。網信部門工作發現，該企業運營的自動售貨機存在違法違規收集人臉資訊等問題。經查，該企業運營的自動售貨機在用戶支付環節存在未經同意收集人臉資訊等問題，同時該企業存在未建立個人資訊保護影響評估制度、相關係統存在SQL注入高危漏洞等問題，違反《網路安全法》《個人資訊保護法》《網路數據安全管理條例》等法律法規規定。屬地網信辦已依法責令其改正，並予以警告處罰。

  10.浙江某科技有限責任公司運營的App提供深度合成服務未按規定進行安全評估案。網信部門工作發現，該企業運營的App提供AI換臉服務未按規定進行安全評估。經查，該企業運營的App是一款深度合成類服務産品，提供視頻換臉、圖片換臉、照片舞動配音等圖片處理功能，用戶可對上傳圖片、視頻中的人物進行換臉，但未按規定落實安全評估要求，相關深度合成內容也未作顯著標識，存在較大安全風險，違反《網際網路資訊服務深度合成管理規定》《生成式人工智慧服務管理暫行辦法》《網際網路資訊服務演算法推薦管理規定》《具有輿論屬性或社會動員能力的網際網路資訊服務安全評估規定》等規定。網信部門已依法責令移動應用程式分發平臺依規依約對該App予以下架處置。

  國家網信辦有關負責人表示，網路空間已經成為人們生産生活的新空間，讓網際網路在法治軌道上健康運作是全社會的共同責任。網信部門將認真貫徹習近平新時代中國特色社會主義思想，特別是習近平法治思想和習近平總書記關於網路強國的重要思想，深入推進依法治網，依法查處相關違法違規行為，切實維護國家網路安全、數據安全，保護人民群眾合法權益。

微信公眾號截圖