安全419盘点｜2024年第二季度数据泄露大事记及执法观察(5)

因未落实业主个人信息保护义务 甘肃10家物业公司被处罚
4月9日消息，甘肃天水武山县公安局在开展公民个人信息保护专项检查行动中，发现多家物业公司办公电脑随意存储大量小区业主家庭住址、身份证号码、联系方式等个人信息，并且存在内部管理制度及操作规程缺失、信息系统弱口令等严重问题，个人信息分类管理及加密去标识化制度没有落实，导致业主个人信息被泄露的风险极大。其中，3家物业公司因未落实保护义务，致使业主信息被售楼中心、二手房交易中心非法获取，多名住户被骚扰电话困扰。
武山县公安机关依法对这3家物业公司处以罚款5000元的行政处罚并责令限期整改，同时对非法获取个人信息的售楼中心、二手房交易公司分别处以罚款1万元的行政处罚。针对另外7家物业公司未落实个人信息保护义务的问题，处以警告的行政处罚并责令其限期整改。
西安网警成功打掉一出售公民个人信息团伙
公安部网安局4月1日报道，陕西省西安市未央网警近日成功打掉一个非法出售公民个人信息团伙，抓获犯罪嫌疑人124人，依法刑事拘留19人，冻结涉案银行卡账户13个。经查，犯罪嫌疑人李某注册某法律咨询公司，伙同万某等人，通过从其上线刘某处非法查询获取公民个人信息，公司通过抖音、快手等网络社交平台发布广告引流，身披法律咨询业务外衣，以为客户提供诉讼代理为由，行“有偿查询、提供公民个人敏感信息”之实。
经统计，该公司所提供的查询内容包括身份证号查地址、身份证查手机等个人敏感信息，索要价格在600元至2000元不等，存在集团式非法买卖、获取公民个人信息的犯罪行为。公司通过查询买卖他人信息非法获利270余万。目前，案件正在进一步侦办当中。

企业应如何应对数据泄露

针对猖獗如斯的数据泄露情况，威胁猎人建议企业全面提升对风险的识别及应对能力，了解风险事件的细节，包括对风险真实性进行验证，及时进行溯源、处置下架并跟进潜在风险，增强数据泄露风险监测及预警的及时性等。其提出的针对性的解决方案供大家参考：
1、全网情报监测及挖掘：覆盖暗网、匿名群聊、网盘文库、代码托管平台等各渠道，从不同维度持续提升渠道覆盖的全面性，包括新渠道的持续发现和更新、深层情报源（Deep Source）的专项挖掘、多语种的渠道覆盖。
2、数据泄露风险精准预警：针对监测到的黑产交易数据，通过风险真实性验证引擎 人工数据验证服务，提供综合的可信度评估结果，帮助企业精准感知风险、及时处置风险：