盤(pán)點(diǎn)｜2022年違規(guī)與處罰重大案件：90%公民征信數(shù)據(jù)泄露，上億歐元反洗錢(qián)罰單…

伴隨各行各業(yè)數(shù)字化轉(zhuǎn)型的持續(xù)深入，網(wǎng)絡(luò)安全事件也層出不窮。數(shù)據(jù)泄露、網(wǎng)絡(luò)欺詐依舊在全球肆掠，數(shù)字生活、數(shù)字經(jīng)濟(jì)的方方面面都在考驗(yàn)著國(guó)家、企業(yè)、個(gè)人對(duì)于數(shù)字安全的風(fēng)險(xiǎn)控制能力。2022年即將過(guò)去，有哪些網(wǎng)絡(luò)安全事件需要我們銘記反思？

1.2022年2月下旬中國(guó)互聯(lián)網(wǎng)持續(xù)遭受境外網(wǎng)絡(luò)攻擊

2022年2月下旬，中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心檢測(cè)發(fā)現(xiàn)中國(guó)互聯(lián)網(wǎng)正在不斷遭到來(lái)自境外的網(wǎng)絡(luò)攻擊，境外組織控制中國(guó)境內(nèi)的計(jì)算機(jī)，并利用這些被控制的計(jì)算機(jī)向俄羅斯、烏克蘭和白俄羅斯發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

2.運(yùn)行十余年的黑客后門(mén)程序被曝光

2022年2月，美國(guó)“電幕行動(dòng)”（Bvp47）的完整技術(shù)細(xì)節(jié)和相關(guān)攻擊組織被某技術(shù)實(shí)驗(yàn)室曝光。這是黑客組織“方程式”制造的頂級(jí)后門(mén)程序，該后門(mén)程序在入侵目標(biāo)操作系統(tǒng)后可以實(shí)施監(jiān)聽(tīng)行動(dòng)并控制整個(gè)目標(biāo)網(wǎng)絡(luò)，此黑客后門(mén)程序已持續(xù)十余年，監(jiān)聽(tīng)了45個(gè)國(guó)家和地區(qū)、287個(gè)重要機(jī)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)。

3.科技巨頭英偉達(dá)和三星遭黑客攻擊，大量機(jī)密數(shù)據(jù)泄露

2022年2月，芯片巨頭英偉達(dá)遭到黑客組織Lapsus$攻擊，約1TB數(shù)據(jù)被竊取，其中包含英偉達(dá)GPU驅(qū)動(dòng)、算力軟件源代碼等高度機(jī)密數(shù)據(jù)，超7萬(wàn)員工數(shù)據(jù)被泄露。

不久之后，韓國(guó)三星電子也承認(rèn)被同一個(gè)黑客組織攻擊，導(dǎo)致三星旗下的智能手機(jī)的源代碼泄露，泄露的190GB數(shù)據(jù)被拆分為三個(gè)壓縮文件供外界下載，其中包括生物識(shí)別算法以及來(lái)自高通的機(jī)密源代碼。

4.BlackMoon僵尸網(wǎng)絡(luò)在中國(guó)境內(nèi)感染數(shù)百萬(wàn)計(jì)算機(jī)終端

2022年3月，中國(guó)互聯(lián)網(wǎng)應(yīng)急中心監(jiān)控發(fā)現(xiàn)，BlackMoon僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上大范圍傳播。通過(guò)跟蹤和監(jiān)測(cè)，1月份其控制的用戶(hù)規(guī)模（按IP號(hào)計(jì)算）已超過(guò)100萬(wàn)。

5.南非90%公民征信數(shù)據(jù)泄露

2022年3月，國(guó)際信貸巨頭Transunion發(fā)表聲明確認(rèn)其在南非的分公司服務(wù)器被名為N4WootySectu的巴西黑客組織非法訪(fǎng)問(wèn)。5400萬(wàn)人（約占南非總?cè)丝跀?shù)90%以上）的個(gè)人信息，包括電話(huà)號(hào)碼、電子郵件地址、ID號(hào)碼、家庭地址和消費(fèi)者信用評(píng)分全部泄露。

6.上市企業(yè)郵箱遭入侵，損失356.9萬(wàn)美元

2022年4月，HomeLegendLLC公司遭遇郵箱入侵，入侵者侵入了該公司租用的微軟365郵箱系統(tǒng)，通過(guò)偽造假電子郵件、供應(yīng)商文件及郵件路徑，騙取該企業(yè)356.9萬(wàn)美元。

7.Harmony遭遇黑客攻擊，損失超1億美元

2022年6月，Harmony Horizon Bridge遭到黑客攻擊導(dǎo)致私鑰泄露，攻擊者盜竊了大量數(shù)字資產(chǎn)，損失預(yù)計(jì)超過(guò)1億美元。

8.系統(tǒng)漏洞導(dǎo)致250萬(wàn)個(gè)學(xué)生個(gè)人信息泄露

2022年6月~7月，學(xué)生貸款服務(wù)商N(yùn)elnet Servicing因系統(tǒng)漏洞，導(dǎo)致超過(guò)250萬(wàn)用戶(hù)的個(gè)人信息遭遇泄露。

9.Revolut數(shù)據(jù)泄露導(dǎo)致超過(guò)50,000名用戶(hù)個(gè)人信息被非法訪(fǎng)問(wèn)

2022年9月，金融科技初創(chuàng)公司Revolut的50,000多名用戶(hù)的個(gè)人信息被非法訪(fǎng)問(wèn)。訪(fǎng)問(wèn)的數(shù)據(jù)包括姓名、家庭和電子郵件地址，以及部分支付卡信息。

10.快時(shí)尚品牌數(shù)據(jù)泄露未盡披露義務(wù)遭遇處罰

2022年10月，擁有快時(shí)尚品牌SHEIN和ROMWE的Zoetop Business Company因未能披露影響3900萬(wàn)客戶(hù)的數(shù)據(jù)泄露事件而被紐約州罰款190萬(wàn)美元。

11.黑客試圖在暗網(wǎng)上出售5億WhatsApp用戶(hù)的數(shù)據(jù)

2022年11月，一名黑客BreachForums發(fā)布了一個(gè)數(shù)據(jù)集，其中包含他們聲稱(chēng)的來(lái)自84個(gè)國(guó)家/地區(qū)的4.87億WhatsApp用戶(hù)的最新個(gè)人信息。在帖子中，被指控的黑客表示，那些購(gòu)買(mǎi)數(shù)據(jù)集的人將收到WhatsApp用戶(hù)的“最新手機(jī)號(hào)碼”。

12.Twitter被指控掩蓋影響數(shù)百萬(wàn)人的數(shù)據(jù)泄露事件

2022年11月，洛杉磯網(wǎng)絡(luò)安全專(zhuān)家發(fā)布了一條關(guān)于社交媒體網(wǎng)站Twitter數(shù)據(jù)泄露的警告，據(jù)稱(chēng)該事件已影響到美國(guó)和歐盟的“數(shù)百萬(wàn)人”。在2022年7月，Twitter曾確認(rèn)因系統(tǒng)漏洞有540萬(wàn)個(gè)用戶(hù)賬號(hào)的數(shù)據(jù)被泄露。

13.博彩公司遭遇撞庫(kù)攻擊導(dǎo)致用戶(hù)賬戶(hù)損失

2022年11月，體育博彩公司DraftKings部分用戶(hù)遭到了黑客組織的撞庫(kù)攻擊，該攻擊導(dǎo)致的損失高達(dá)30萬(wàn)美元。攻擊者改變密碼，在不同的電話(huà)號(hào)碼上利用雙因素身份認(rèn)證（2FA）從受害者的網(wǎng)上銀行賬戶(hù)中提款。

媒體報(bào)道稱(chēng)，2022年發(fā)生了超過(guò)4100起公開(kāi)披露的數(shù)據(jù)泄露事件，大約220億條數(shù)據(jù)信息或個(gè)人記錄被曝光。根據(jù)2022年Verizon發(fā)布的數(shù)據(jù)泄露調(diào)查報(bào)告，網(wǎng)絡(luò)釣魚(yú)依舊是欺詐者或黑客攻擊企業(yè)數(shù)據(jù)時(shí)最常用的攻擊手段之一，金融機(jī)構(gòu)經(jīng)常成為網(wǎng)絡(luò)釣魚(yú)詐騙中被借用身份假冒的官方機(jī)構(gòu)。

2023年，伴隨各國(guó)都在逐步加強(qiáng)數(shù)據(jù)保護(hù)的監(jiān)管力度，企業(yè)和金融機(jī)構(gòu)務(wù)必要繼續(xù)警惕欺詐導(dǎo)致的數(shù)據(jù)泄露威脅。加強(qiáng)反欺詐的智能風(fēng)控解決方案的部署，可以有效降低企業(yè)在業(yè)務(wù)中遭遇欺詐的風(fēng)險(xiǎn)。

而在另一方面，積極落實(shí)合規(guī)義務(wù)，既可以降低遭遇欺詐的風(fēng)險(xiǎn)，也可能在遭遇數(shù)據(jù)泄露相關(guān)事件的司法起訴時(shí)，獲得免于起訴或減輕懲罰的可能性。近年來(lái)，各國(guó)對(duì)金融機(jī)構(gòu)、企業(yè)違反合規(guī)義務(wù)的處罰金額屢創(chuàng)新高，尤其是針對(duì)違反反洗錢(qián)合規(guī)義務(wù)的機(jī)構(gòu)。

回顧2022年，下列重拳整治的反洗錢(qián)和金融業(yè)務(wù)違規(guī)懲罰案件，值得我們銘記警惕。落實(shí)反洗錢(qián)等業(yè)務(wù)合規(guī)義務(wù)，是每個(gè)金融機(jī)構(gòu)、企業(yè)需要重視的運(yùn)營(yíng)底線(xiàn)責(zé)任。

丹麥：丹斯克銀行因國(guó)際洗錢(qián)丑聞被罰款4.7億歐元

2022年12月，丹麥金融監(jiān)管機(jī)構(gòu)向當(dāng)?shù)刈畲蟮你y行丹斯克銀行處以35億克朗的罰款。因其在2007年至2015年期間，約有2000億歐元通過(guò)其愛(ài)沙尼亞子公司洗錢(qián)。

檢察官表示，這是丹麥洗錢(qián)案中“有史以來(lái)最大罰款?！痹缦?，這家銀行還牽扯進(jìn)美國(guó)的欺詐案件。

英國(guó)：桑坦德銀行因未落實(shí)反洗錢(qián)合規(guī)義務(wù)被罰款1.078億英鎊

2022年，英國(guó)監(jiān)管機(jī)構(gòu)對(duì)桑坦德銀行處以1.078億英鎊的罰款。處罰原因是這家西班牙銀行的英國(guó)分部在2012年至2017年間，沒(méi)有正確履行客戶(hù)身份驗(yàn)證服務(wù)。

這是英國(guó)監(jiān)管機(jī)構(gòu)近期罰款金額最大的反洗錢(qián)處罰案件。

馬耳他：匯豐銀行違反反洗錢(qián)法被處罰

因違反當(dāng)?shù)胤聪村X(qián)法，匯豐銀行被馬耳他金融情報(bào)分析部處以82,000歐元的罰款。

美國(guó)：加密數(shù)字資產(chǎn)高管違反反洗錢(qián)法，被判處一年緩刑和15萬(wàn)美元罰款。

BitMEX的前首席執(zhí)行官在承認(rèn)違反《銀行保密法》后因故意未能在交易所實(shí)施反洗錢(qián)計(jì)劃而被判處緩刑。

阿聯(lián)酋：對(duì)六家違反反洗錢(qián)法的非金融公司處以320萬(wàn)迪拉姆（約合871000美元）罰款。

阿聯(lián)酋正在加強(qiáng)反洗錢(qián)監(jiān)管，這些非金融企業(yè)或?qū)I(yè)人士包括房地產(chǎn)經(jīng)紀(jì)公司、貴金屬和寶石經(jīng)銷(xiāo)商、審計(jì)師和企業(yè)服務(wù)提供商。

中國(guó)：37家銀行涉及反洗錢(qián)違規(guī)，9家銀行領(lǐng)涉反洗錢(qián)百萬(wàn)級(jí)罰單

2022年10月到12月，中國(guó)央行重拳整治銀行反洗錢(qián)違規(guī)，對(duì)37家涉及反洗錢(qián)違規(guī)的銀行做出了嚴(yán)厲懲罰，機(jī)構(gòu)罰金共計(jì)3645萬(wàn)元，個(gè)人罰金共計(jì)124萬(wàn)元。其中還開(kāi)出了9張百萬(wàn)元以上罰單，雙罰制比例已達(dá)到100%。

圖片來(lái)源：21世紀(jì)經(jīng)濟(jì)報(bào)道

中國(guó)：多家非銀行支付（第三方支付）機(jī)構(gòu)領(lǐng)到監(jiān)管罰單，個(gè)別機(jī)構(gòu)的罰單金額甚至遠(yuǎn)超大型商業(yè)銀行

2022年11月18日，百聯(lián)優(yōu)力（北京）投資有限公司因“未落實(shí)防范電信詐騙風(fēng)險(xiǎn)相關(guān)要求，未落實(shí)商戶(hù)實(shí)名制管理要求，未落實(shí)商戶(hù)結(jié)算管理要求，未落實(shí)外包管理相關(guān)規(guī)定”等4項(xiàng)問(wèn)題，被中國(guó)人民銀行處以高達(dá)6489萬(wàn)元的罰沒(méi)款處罰。

2022年11月17日，聯(lián)動(dòng)優(yōu)勢(shì)電子商務(wù)有限公司因“違反規(guī)定將境內(nèi)外匯轉(zhuǎn)移境外”，被國(guó)家外匯管理局北京外匯管理部罰款1095萬(wàn)元。

復(fù)盤(pán)2022丨以案警示

反洗錢(qián)、數(shù)據(jù)保護(hù)等合規(guī)義務(wù)是每個(gè)金融機(jī)構(gòu)、數(shù)字經(jīng)濟(jì)企業(yè)都需要履行的基本責(zé)任。伴隨各國(guó)監(jiān)管制度的細(xì)化與完善，違規(guī)企業(yè)不會(huì)逃脫嚴(yán)厲懲罰。走進(jìn)新一年，企業(yè)能否適應(yīng)從嚴(yán)的監(jiān)管要求，能否落實(shí)業(yè)務(wù)合規(guī)，決定了企業(yè)未來(lái)的生存力和競(jìng)爭(zhēng)力。