6.廣東某保險代理有限公司數(shù)據(jù)被竊取案。網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)提供保險代理服務(wù)的后臺系統(tǒng)相關(guān)數(shù)據(jù)被竊取。經(jīng)查，該企業(yè)涉事系統(tǒng)存在越權(quán)遍歷訪問漏洞，攻擊者可通過遍歷URL ID的方式批量獲取數(shù)據(jù)，且該企業(yè)購買的云防火墻服務(wù)已過期，未按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志，導致涉事系統(tǒng)相關(guān)數(shù)據(jù)被竊取。該企業(yè)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護義務(wù)，涉事系統(tǒng)未依法留存相關(guān)網(wǎng)絡(luò)日志，未采取技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，造成數(shù)據(jù)被竊取后果，違反《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定。屬地網(wǎng)信辦已依法責令其改正，并予以警告、罰款處罰。

7.湖南某科技股份有限公司數(shù)據(jù)存在泄露安全風險案。網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)內(nèi)網(wǎng)數(shù)據(jù)庫相關(guān)數(shù)據(jù)存在泄露安全風險。經(jīng)查，該企業(yè)內(nèi)網(wǎng)數(shù)據(jù)庫存在未授權(quán)訪問漏洞和弱口令漏洞，某軟件研發(fā)工程師為工作便利，將合作項目中掌握的大量用戶數(shù)據(jù)拷貝至企業(yè)內(nèi)網(wǎng)數(shù)據(jù)庫，并打開企業(yè)內(nèi)網(wǎng)的公共互聯(lián)網(wǎng)訪問端口，導致內(nèi)網(wǎng)數(shù)據(jù)庫相關(guān)數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。該企業(yè)未依法履行網(wǎng)絡(luò)安全、數(shù)據(jù)安全保護義務(wù)，未建立網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理制度，涉事系統(tǒng)未采取技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，存在數(shù)據(jù)泄露安全風險，違反《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)規(guī)定。屬地網(wǎng)信辦已依法責令其改正，并予以警告、罰款處罰。

8.北京某科技有限公司運營的App超范圍收集個人信息案。網(wǎng)信部門工作發(fā)現(xiàn)，該企業(yè)運營的App違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息。經(jīng)查，該企業(yè)開發(fā)的App在用戶未使用任何功能情況下，后臺運行時收集上傳用戶應(yīng)用程序安裝、卸載信息。用戶使用上傳AI頭像等功能時，調(diào)用非必要存儲權(quán)限。相關(guān)行為超出了實現(xiàn)個人信息處理目的最小必要范圍，違反《網(wǎng)絡(luò)安全法》《個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)。屬地網(wǎng)信辦已依法責令其改正，并予以警告、罰款處罰。