北京多家公司因不履行网络安全保护义务处罚案例

近期，北京市公安局网安部门加大对不履行网络安全保护义务违法行为的打击力度，切实压紧压实网络运营者的主体责任，对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚。

北京某科技信息服务有限责任公司所属网站内出现涉赌违法信息。该公司官网为静态页面，涉事服务器为虚拟服务器，用户访问静态文件不需要任何权限。2023年11月12日被人进入公司服务器内将文件改写成赌博网站信息。

经查，该网站联网使用后，系统没有在公安机关进行网络安全等级保护备案，对系统的漏洞扫描已是半年前。该公司网站系统未落实网络安全保护义务，未采取防范计算机病毒和网络侵入等技术措施。

北京市公安局东城分局根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，责令该公司整改并给予警告的行政处罚。

北京某科技有限责任公司未落实网络安全保护责任，无内部网络安全管理制度以及操作规程，其内部的网站存在被植入不法链接、跳转赌博网站的漏洞，属于不履行网络安全保护义务的行为。

北京市公安局门头沟分局根据《中华人民共和国网络安全法》第二十一条第一项、第二项、第五十九条第一款之规定，责令该公司整改并给予警告的行政处罚。

北京某科贸有限公司网站发现存在SQL注入漏洞。经查，该公司网站没有制定建立管理制度，没有定期开展网络漏洞扫描工作，未依法采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。

北京市公安局密云分局根据《中华人民共和国网络安全法》第二十一条、第五十九条第一款，责令该公司整改并给予警告的行政处罚。

北京某装饰工程有限公司网站存有违法信息，该网站未对其发布的信息进行有效审核及管理，导致该违法信息在网络上发布，造成不良影响，属于不履行网络信息安全管理义务的行为。

北京市公安局大兴分局根据《中华人民共和国网络安全法》第二十一条、第六十八条第一款之规定，责令该公司整改并给予警告的行政处罚。

北京某科技有限公司所使用的一款寄快递微信小程序存在安全隐患，经对小程序进行检测，发现该款小程序存在高风险漏洞5个，容易造成数据泄漏的风险。

北京市公安局通州分局依据《中华人民共和国网络安全法》第二十一条第二项、第五十九条第一款的规定，责令该公司整改并给予警告的行政处罚。

01.

“SQL漏洞注入”小科普

SQL注入攻击是黑客对数据库进行攻击的常用手段之一，被广泛用于非法获取网站控制权。这是在应用程序的数据库层中发生的安全漏洞，导致数据库受到攻击，从而可能导致盗窃，修改和删除数据，并进一步导致网站嵌入恶意代码，植入后门程序的危害等。

法律法规

02.

《中华人民共和国网络安全法》第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

【还有前期发布2023年的几起案例】

一、数据泄露

2023年6月，昌平网安部门检查发现，昌平某生物技术有限公司存在数据泄漏的情况，其委托的另一软件公司研发的“基因外显子数据分析系统”，包含公民信息、技术等信息，涉及泄露数据总量达19.1GB。

经检查，该软件公司在开发系统互联网测试阶段，未对相关数据进行加密，未落实安全保护措施，属于未履行数据安全保护义务。

北京市公安局昌平分局依据《中华人民共和国数据安全法》第四十五条第一款规定，给予警告并处罚款五万元的行政处罚。

二、弱口令账号

一、数据泄露

2023年7月13日，朝阳网安部门检查发现，朝阳某教育公司数据被泄漏到境外非法网站上，该公司的一个客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄漏。

经现场检查发现，因该公司技术人员在对系统测试过程中，将有权限的测试账号设为弱口令，且系统正式使用后未将测试账号进行清空删除处理。

该公司未建立数据安全管理制度和操作规程，系统未进行网络安全评估，同时此账号因弱口令被黑客破解造成大量公民个人信息被盗取泄漏，涉嫌违反《中华人民共和国数据安全法》第二十七条之规定。北京市公安局朝阳分局给予该公司罚款五万元的行政处罚。

三、密码爆破

2023年8月1日，一境外论坛发布题为“某教育站点教70多万订单信息”的帖文，疑似北京某教育公司发生数据泄露，针对此情况，海淀网安部门立即开展核查处置工作。

经查，该公司教务排课系统在账号密码传输前未进行加密传输，存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码，通过访问导出大批量后台数据，造成数据泄漏。

该公司未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务，违反了《中华人民共和国数据安全法》第二十七条、第四十五条之规定。北京市公安局海淀分局对该公司给予了罚款五万元的行政处罚，给予直接负责的主管人员罚款一万元的行政处罚。

四、

2023年9月14日，房山网安部门在对某科技公司检查时发现，该公司网站网页源代码被篡改，网站链接跳转到境外赌博网站，易引发网络赌博或网络诈骗案件。

经查，该科技公司没有建立管理制度，没有定期开展漏洞扫描，未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施，导致网站前端源代码泄漏，造成网站内容被篡改，违反了《中华人民共和国网络安全法》第二十一条规定，属于不履行网络安全保护义务行为，北京市公安局房山分局对运营者责令改正，给予警告处罚。

全部内容请到帮会中下载，感谢支持！！

END

来源：公安部网安局

加入帮会—下载

「一起聊安全」公众号致力于网络安全材料汇总与分享，围绕安全标准、安全政策、安全报告及白皮书、安全新技术等方向，且开通FREEBUF知识大陆【一起聊安全】帮会，提供最全安全标准及相关材料共享。目前已有1800+常用网络安全标准及相关材料，安全标准涵盖国标、行标、团标等，包括等保、关基、商密、数据安全、云计算、物联网、工业互联网、移动安全、风险评估、安全攻防等30+方向内容，为网安人提供最新最全资料。

加入方式：https://wiki.freebuf.com/societyDetail?society_id=69

加入方式2：扫描下方二维码——加入【一起聊安全】帮会

点分享

点收藏

点点赞

点在看