FreeBuf网安大事记 | 2021年度国内网安事件汇总

发布时间：2022-01-21 09:56:12来源：FreeBuf

“屋漏偏逢连阴雨，船破又遇顶头风”，想来应该是许多企业2021年的“心声”。过往一年，新冠病毒依旧肆无忌惮的传播，大量企业日常经营受到严重影响，企业办公模式逐渐向远程办公转型，市场贸易更加依赖网络，种种“机缘巧合”为网络犯罪分子提供了滋养的温床。

2021年，在新冠疫情和复杂国际政治背景下，国内网络环境一直处于“水深火热”中。网络世界对抗的趋势越来越明显，受到别国的网络攻击频率不断增加。除此之外，勒索软件、数据泄露、黑客攻击、网络诈骗等事件频发，国内网络空间安全面临严峻形势。

梳理2021年，不论是美国正在加大对中国的网络攻击，还是超两亿中国公民数据疑似在暗网出售，亦或是滴滴出行突遭安全审查，无不时刻提醒我们国内网络安全环境亟需加强，对数据保护理应投入更多资源。接下来，小编着重筛选30条2021年度国内网络安全相关资讯，期望能够给网安行业小伙伴带来一些新的思考。

例行Darkweb监视期间，Cyble研究团队发现了多个帖子，其中威胁攻击者正在出售据称与中国公民有关的数据泄漏。据悉，数据可能是从多个受欢迎的中国服务中窃取的。

40岁链家程序员，因向领导提出系统安全问题遭无视，还被调整了工作，怒而删除自家9TB数据库。段子一样的“删库”事件不仅真实上演，最近还迎来了法院的最终判决。值得一提的是，为恢复数据及系统，链家前后共花费18万元。

疑似涉美国中央情报局网络攻击组织，对中国关键领域进行了长达11年的网络渗透攻击，并披露了该组织使用“穹窿7”项目中专属网络武器的重要证据。

为了规范App任意收集、使用麦克风录音权限，工信部已发布《App收集使用个人信息最小必要评估规范》。同时，工信部正在起草《移动互联网应用程序个人信息保护管理暂行规定》。

银保监会开出2021年的第1号罚单，剑指银行网络信息安全问题，农业银行领罚420万元，随后农业银行对此进行了回应，表示目前所有检查发现的问题都已整改完成。下一步，农行将牢牢守好网络安全生命线，为客户提供更加安全、便捷的金融服务。

根据提交给美国伊利诺伊州法院的文件，字节跳动已同意价值达9200万美元的集体诉讼和解，以解决美国部分TikTok用户提出的数据隐私索赔。

知名电脑厂商台湾宏碁公司（Acer）遭遇网络攻击，内部信息可能已经外泄。宏碁在接受共同社采访时表示检测到异常，已采取措施，公司不打算支付赎金，已向调查机关报告了情况。

微信安全中心发文称，自2021年以来，根据用户投诉提交的证据，微信安全团队对微信个人账号发布违禁品信息及实施欺诈这两类违规行为进行了专项打击治理。

据央视3·15报道涉及到的4家盗取用户信息的企业有：万店掌、悠络客、雅量科技、瑞为，涉及到的店铺有科勒卫浴、宝马4S店和MaxMara旗下的几家。

工信部微信公众号发表通报，称在2021年第一季度检测中腾讯应用宝、小米应用商店、OPPO软件商店、华为应用市场和vivo应用商店发现问题数量分别占比14.22%、13.81%、12.80%、11.37%和11.17%，存在上架审核不严格，存量问题清理不彻底，登记核验APP开发运营者信息不准确，误导用户下载等问题。

4月23日，工信部网站通报，多家银行开发的App侵害用户权益并且未完成整改，包括广州农商行开发的App存在“违规收集个人信息”、广东南粤银行开发的App存在“违规收集个人信息，App强制、频繁、过度索取权限”、前海微众银行开发的App存在“违规收集个人信息、超范围收集个人信息”。

近日，虚拟运营商远特(北京)通信技术有限公司(以下简称远特公司)，因拒不履行信息网络安全管理义务罪，董事长王某及部分高管被法院一审判处一年四个月至一年十个月的有期徒刑或拘役。

澳门特区新型冠状病毒感染应变协调中心表示，早前健康码系统受到恶意的网络攻击，主要是外网受到攻击，在技术团队与网络供应商一同应对下，成功将影响减到最低，大约一个小时内就恢复健康码的生成。

连锁便利店便利蜂使用摄像头大规模收集目标店铺附近的所有信息，引发了隐私方面的争议。

6月，十三届全国人大常委会第二十九次会议表决通过多项法案及两项决定。其中，包括数据安全法、反外国制裁法、关于授权上海市人大及其常委会制定浦东新区法规的决定等。

国家计算机网络应急技术处理协调中心（CNCERT）日前发布的《2020年我国互联网网络安全态势综述》显示，美国是中国遭受的网络境外攻击最大的来源地，并且来自美国的网络攻击正在连年增加。

由公安部督办的“10.18”特大跨境电信网络诈骗系列案在成都铁路运输两级法院集中公开宣判，涉案的98名被告人分别因犯诈骗罪、帮助信息网络犯罪活动罪，被判处十二年至一年不等有期徒刑，其中判处五年以上刑期的35人。

审查期间“运满满”“货车帮”“BOSS直聘”“滴滴出行”停止新用户注册。7月4日，国家互联网信息办公室发布关于下架“滴滴出行”App的通报。

深圳市人大常委会公布《深圳经济特区数据条例》明确，数据处理者不得以自然人不同意处理个人数据为由，拒绝向其提供相关核心功能或者服务；处理人脸识别等生物识别数据时，应当同时提供处理其他非生物识别数据的替代方案。

腾讯宣布部署人脸识别去识别晚上10点之后还在玩游戏的未成年人。未成年人被禁止在晚上10到早上8点之间玩游戏，而有部分未成年人会利用成年人的账号绕过限制。腾讯的新游戏功能被称为“零点巡航”，针对的就是这些规避限制的玩家。

十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》。个人信息保护法自2021年11月1日起施行。

中央网信办会同有关部门深入推进摄像头偷窥等黑产集中治理工作，督促各类平台清理相关违规有害信息2.2万余条，处置平台账号4000余个、群组132个，下架违规产品1600余件。

盐城公安网安支队民警在一个“暗网”平台上截获了一条倒卖公民信息的线索，经过追查，抓获15名长期在网上进行信息数据交易的犯罪嫌疑人。

特斯拉公司首席执行官伊隆·马斯克：数据安全，是智联网汽车成功的关键。它不仅与个人利益密切相关，同时也和整个社会利益息息相关，特斯拉认同相关法律法规出台加强数据管理。

第三届全国信息安全标准化技术委员会第一次全体会议日前在京召开。记者从会上了解到，成立于2002年的全国信息安全标准化技术委员会，已组织制订网络安全国家标准332项。

网络安全，虽然看起来很高大上：烧脑的代码、网络病毒攻击，涉及计算机、通信、密码等多个学科，但它覆盖我们生活的方方面面。企查查数据显示，我国现存“网络安全”相关企业共71.2万家。

工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人，通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题。

超过八成的消费者发生过个人信息被泄露情况，个人信息泄露后，多数消费者因证据不足或者没有产生实质性伤害而没有采取任何措施。同时，超四分之一的消费者不会阅读网络服务前的安全隐私协议和提示信息。

工业和信息化部网站发布消息称，信息通信行业圆满完成北京冬奥会系列测试赛网络安全保障任务，在网络安全漏洞、移动恶意程序、恶意IP地址、僵尸网络等网络安全威胁监测与处置过程中，累计屏蔽恶意程序发送端IP地址9000余个、组织修复漏洞隐患200余个，处置网络安全事件300余个。

阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。

*本文内容收集自2021年度全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

精彩推荐