多家企业因未履行网络安全保护义务被大力处罚

近段时间以来，全国网信系统认真贯彻落实《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规，持续加大网络安全、数据安全、个人信息保护相关执法工作力度，各地网信部门依法查处一批涉网页篡改、数据泄露、违法违规处理个人信息、新技术新应用未经评估上线等违法违规案件。

1.山东某医学检验有限公司数据泄露案

网信部门工作发现，该企业某系统相关数据被搜索引擎爬虫爬取。经查，涉事系统开启目录浏览功能，存在目录遍历和未授权访问漏洞，未正确配置防火墙入侵防护策略，未按照规定留存相关网络日志。相关搜索引擎爬虫通过遍历请求爬取了网站组织架构和文件，导致系统相关数据泄露。该企业未依法履行网络安全、数据安全保护义务，涉事系统未依法留存相关网络日志，未采取技术措施和其他必要措施保障数据安全，造成数据泄露后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

2.重庆某科技公司数据被窃取案

网信部门工作发现，该企业用于汽车租赁服务的“OA信息系统”相关数据被窃取。经查，该企业涉事系统3306端口开放MySQL数据库服务，未设置用户密码，存在弱口令漏洞，导致涉事系统相关数据被先后窃取159次。该企业未依法履行网络安全、数据安全保护义务，涉事系统未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

3.广东某科技股份有限公司网页篡改案

网信部门工作发现，该企业用于业务审批等的办公协作平台登录页面被篡改为违法有害内容。经查，该企业涉事系统存在任意文件上传漏洞，遭受勒索软件攻击，该企业当天发现后仅重装系统，未修复系统漏洞。其后，攻击者利用该漏洞上传远程控制木马，将登录页面篡改为违法有害内容。该企业未依法履行网络安全保护义务，未采取必要技术措施保障网络安全，未及时修复系统漏洞，造成网页篡改后果，违反《网络安全法》相关规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

4.浙江某科技股份有限公司数据被窃取案

网信部门工作发现，该企业FTP系统相关数据被窃取。经查，该企业为方便共享、打印系统文件，将涉事系统设置为允许匿名访问，并设置云服务器安全组规则不生效，长期存在未授权访问漏洞，导致涉事系统相关数据被窃取。该企业未依法履行网络安全、数据安全保护义务，涉事系统未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。

5.新疆某互联网科技有限公司网页篡改案

网信部门工作发现，该企业门户网站及开发运维的8个网站子页面被篡改为涉赌违法信息。经查，该企业上述网站存在安全缺陷和漏洞，相关网页源代码php文件被恶意篡改，出现涉赌违法信息。事件发生时，网站管理员休假不在岗，网站处于无人管理状态。该企业作为网络产品、服务提供者，未及时发现其开发的网站存在安全缺陷和漏洞，未立即采取补救措施，未按照规定及时告知用户并向主管部门报告，违反《网络安全法》相关规定，属地网信办已依法责令其改正，并予以警告处罚。