广州市公安局26日通报,广州一家技术公司在开发一款App系统后,因未履行数据安全保护义务,导致该系统安全漏洞被不法分子利用,1000余万条公民个人信息面临泄露风险,被警方行政立案,罚款5万元。这是广东警方适用《中华人民共和国数据安全法》的首批案例之一。
据通报,从2021年10月下旬开始,广州市某公司陆续收到投诉,有第三方人员冒充该公司工作人员,自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制,让驾校学员不到现场练车就能在系统累积练车学时,从而达到监管部门对驾考练车的学时要求。
广州警方经研判,挖出一作案团伙。该团伙通过技术手段非法破解“驾培平台”系统,将虚假的培训数据包发送至平台服务器,对学员的学时进行修改,以帮助学员快速完成培训。
5月12日,广州警方抓获包括技术开发和代理在内的3名犯罪嫌疑人。经初步统计,该案共涉及30余家驾校、90余台驾校教练车培训终端、5000余名驾校学员,该团伙牟利约35万元。
广州市公安局天河区分局网警大队大队长刘峦耿说,在刑事打击的同时,警方启动一案双查,对该公司未履行数据安全保护义务的违法行为进行行政立案处罚。
据刘峦耿介绍,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万条,但该公司没有建立数据安全管理制度和操作规程,对采集到的个人信息未采取去标识化和加密措施,且系统存在未授权访问漏洞等严重数据安全隐患。
“上述问题隐患层层叠加,而系统平台一旦被不法分子突破窃取,将导致大量学员个人信息泄露,给广大人民群众个人利益造成重大影响。”刘峦耿说。
上述案件是广州警方上半年查处的网络违法犯罪典型案例之一。据通报,今年上半年,广州警方严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪,共侦破网络主侦案件160余起,依法刑事拘留400余人;对25万个网站开展专项排查,走访检查重点单位934家次,循环检测1000余个重要信息系统,发现并通报400余个安全隐患;对未履行网络安全职责、未落实网络安全技术措施的单位,依法作出行政处罚261宗。
来源:新华社