盤點｜2022年違規(guī)與處罰重大案件：90%公民征信數(shù)據(jù)泄露，上億歐元反洗錢罰單…

伴隨各行各業(yè)數(shù)字化轉型的持續(xù)深入，網(wǎng)絡安全事件也層出不窮。數(shù)據(jù)泄露、網(wǎng)絡欺詐依舊在全球肆掠，數(shù)字生活、數(shù)字經(jīng)濟的方方面面都在考驗著國家、企業(yè)、個人對于數(shù)字安全的風險控制能力。2022年即將過去，有哪些網(wǎng)絡安全事件需要我們銘記反思？

1.2022年2月下旬中國互聯(lián)網(wǎng)持續(xù)遭受境外網(wǎng)絡攻擊

2022年2月下旬，中國國家互聯(lián)網(wǎng)應急中心檢測發(fā)現(xiàn)中國互聯(lián)網(wǎng)正在不斷遭到來自境外的網(wǎng)絡攻擊，境外組織控制中國境內的計算機，并利用這些被控制的計算機向俄羅斯、烏克蘭和白俄羅斯發(fā)動網(wǎng)絡攻擊。

2.運行十余年的黑客后門程序被曝光

2022年2月，美國“電幕行動”（Bvp47）的完整技術細節(jié)和相關攻擊組織被某技術實驗室曝光。這是黑客組織“方程式”制造的頂級后門程序，該后門程序在入侵目標操作系統(tǒng)后可以實施監(jiān)聽行動并控制整個目標網(wǎng)絡，此黑客后門程序已持續(xù)十余年，監(jiān)聽了45個國家和地區(qū)、287個重要機構的計算機和網(wǎng)絡系統(tǒng)。

3.科技巨頭英偉達和三星遭黑客攻擊，大量機密數(shù)據(jù)泄露

2022年2月，芯片巨頭英偉達遭到黑客組織Lapsus$攻擊，約1TB數(shù)據(jù)被竊取，其中包含英偉達GPU驅動、算力軟件源代碼等高度機密數(shù)據(jù)，超7萬員工數(shù)據(jù)被泄露。

不久之后，韓國三星電子也承認被同一個黑客組織攻擊，導致三星旗下的智能手機的源代碼泄露，泄露的190GB數(shù)據(jù)被拆分為三個壓縮文件供外界下載，其中包括生物識別算法以及來自高通的機密源代碼。

4.BlackMoon僵尸網(wǎng)絡在中國境內感染數(shù)百萬計算機終端

2022年3月，中國互聯(lián)網(wǎng)應急中心監(jiān)控發(fā)現(xiàn)，BlackMoon僵尸網(wǎng)絡在互聯(lián)網(wǎng)上大范圍傳播。通過跟蹤和監(jiān)測，1月份其控制的用戶規(guī)模（按IP號計算）已超過100萬。

5.南非90%公民征信數(shù)據(jù)泄露

2022年3月，國際信貸巨頭Transunion發(fā)表聲明確認其在南非的分公司服務器被名為N4WootySectu的巴西黑客組織非法訪問。5400萬人（約占南非總人口數(shù)90%以上）的個人信息，包括電話號碼、電子郵件地址、ID號碼、家庭地址和消費者信用評分全部泄露。

6.上市企業(yè)郵箱遭入侵，損失356.9萬美元

2022年4月，HomeLegendLLC公司遭遇郵箱入侵，入侵者侵入了該公司租用的微軟365郵箱系統(tǒng)，通過偽造假電子郵件、供應商文件及郵件路徑，騙取該企業(yè)356.9萬美元。

7.Harmony遭遇黑客攻擊，損失超1億美元

2022年6月，Harmony Horizon Bridge遭到黑客攻擊導致私鑰泄露，攻擊者盜竊了大量數(shù)字資產(chǎn)，損失預計超過1億美元。

8.系統(tǒng)漏洞導致250萬個學生個人信息泄露

2022年6月~7月，學生貸款服務商Nelnet Servicing因系統(tǒng)漏洞，導致超過250萬用戶的個人信息遭遇泄露。

9.Revolut數(shù)據(jù)泄露導致超過50,000名用戶個人信息被非法訪問

2022年9月，金融科技初創(chuàng)公司Revolut的50,000多名用戶的個人信息被非法訪問。訪問的數(shù)據(jù)包括姓名、家庭和電子郵件地址，以及部分支付卡信息。

10.快時尚品牌數(shù)據(jù)泄露未盡披露義務遭遇處罰

2022年10月，擁有快時尚品牌SHEIN和ROMWE的Zoetop Business Company因未能披露影響3900萬客戶的數(shù)據(jù)泄露事件而被紐約州罰款190萬美元。

11.黑客試圖在暗網(wǎng)上出售5億WhatsApp用戶的數(shù)據(jù)

2022年11月，一名黑客BreachForums發(fā)布了一個數(shù)據(jù)集，其中包含他們聲稱的來自84個國家/地區(qū)的4.87億WhatsApp用戶的最新個人信息。在帖子中，被指控的黑客表示，那些購買數(shù)據(jù)集的人將收到WhatsApp用戶的“最新手機號碼”。

12.Twitter被指控掩蓋影響數(shù)百萬人的數(shù)據(jù)泄露事件

2022年11月，洛杉磯網(wǎng)絡安全專家發(fā)布了一條關于社交媒體網(wǎng)站Twitter數(shù)據(jù)泄露的警告，據(jù)稱該事件已影響到美國和歐盟的“數(shù)百萬人”。在2022年7月，Twitter曾確認因系統(tǒng)漏洞有540萬個用戶賬號的數(shù)據(jù)被泄露。

13.博彩公司遭遇撞庫攻擊導致用戶賬戶損失

2022年11月，體育博彩公司DraftKings部分用戶遭到了黑客組織的撞庫攻擊，該攻擊導致的損失高達30萬美元。攻擊者改變密碼，在不同的電話號碼上利用雙因素身份認證（2FA）從受害者的網(wǎng)上銀行賬戶中提款。

媒體報道稱，2022年發(fā)生了超過4100起公開披露的數(shù)據(jù)泄露事件，大約220億條數(shù)據(jù)信息或個人記錄被曝光。根據(jù)2022年Verizon發(fā)布的數(shù)據(jù)泄露調查報告，網(wǎng)絡釣魚依舊是欺詐者或黑客攻擊企業(yè)數(shù)據(jù)時最常用的攻擊手段之一，金融機構經(jīng)常成為網(wǎng)絡釣魚詐騙中被借用身份假冒的官方機構。

2023年，伴隨各國都在逐步加強數(shù)據(jù)保護的監(jiān)管力度，企業(yè)和金融機構務必要繼續(xù)警惕欺詐導致的數(shù)據(jù)泄露威脅。加強反欺詐的智能風控解決方案的部署，可以有效降低企業(yè)在業(yè)務中遭遇欺詐的風險。

而在另一方面，積極落實合規(guī)義務，既可以降低遭遇欺詐的風險，也可能在遭遇數(shù)據(jù)泄露相關事件的司法起訴時，獲得免于起訴或減輕懲罰的可能性。近年來，各國對金融機構、企業(yè)違反合規(guī)義務的處罰金額屢創(chuàng)新高，尤其是針對違反反洗錢合規(guī)義務的機構。

回顧2022年，下列重拳整治的反洗錢和金融業(yè)務違規(guī)懲罰案件，值得我們銘記警惕。落實反洗錢等業(yè)務合規(guī)義務，是每個金融機構、企業(yè)需要重視的運營底線責任。

丹麥：丹斯克銀行因國際洗錢丑聞被罰款4.7億歐元

2022年12月，丹麥金融監(jiān)管機構向當?shù)刈畲蟮你y行丹斯克銀行處以35億克朗的罰款。因其在2007年至2015年期間，約有2000億歐元通過其愛沙尼亞子公司洗錢。

檢察官表示，這是丹麥洗錢案中“有史以來最大罰款?！痹缦龋@家銀行還牽扯進美國的欺詐案件。

英國：桑坦德銀行因未落實反洗錢合規(guī)義務被罰款1.078億英鎊

2022年，英國監(jiān)管機構對桑坦德銀行處以1.078億英鎊的罰款。處罰原因是這家西班牙銀行的英國分部在2012年至2017年間，沒有正確履行客戶身份驗證服務。

這是英國監(jiān)管機構近期罰款金額最大的反洗錢處罰案件。

馬耳他：匯豐銀行違反反洗錢法被處罰

因違反當?shù)胤聪村X法，匯豐銀行被馬耳他金融情報分析部處以82,000歐元的罰款。

美國：加密數(shù)字資產(chǎn)高管違反反洗錢法，被判處一年緩刑和15萬美元罰款。

BitMEX的前首席執(zhí)行官在承認違反《銀行保密法》后因故意未能在交易所實施反洗錢計劃而被判處緩刑。

阿聯(lián)酋：對六家違反反洗錢法的非金融公司處以320萬迪拉姆（約合871000美元）罰款。

阿聯(lián)酋正在加強反洗錢監(jiān)管，這些非金融企業(yè)或專業(yè)人士包括房地產(chǎn)經(jīng)紀公司、貴金屬和寶石經(jīng)銷商、審計師和企業(yè)服務提供商。

中國：37家銀行涉及反洗錢違規(guī)，9家銀行領涉反洗錢百萬級罰單

2022年10月到12月，中國央行重拳整治銀行反洗錢違規(guī)，對37家涉及反洗錢違規(guī)的銀行做出了嚴厲懲罰，機構罰金共計3645萬元，個人罰金共計124萬元。其中還開出了9張百萬元以上罰單，雙罰制比例已達到100%。

圖片來源：21世紀經(jīng)濟報道

中國：多家非銀行支付（第三方支付）機構領到監(jiān)管罰單，個別機構的罰單金額甚至遠超大型商業(yè)銀行

2022年11月18日，百聯(lián)優(yōu)力（北京）投資有限公司因“未落實防范電信詐騙風險相關要求，未落實商戶實名制管理要求，未落實商戶結算管理要求，未落實外包管理相關規(guī)定”等4項問題，被中國人民銀行處以高達6489萬元的罰沒款處罰。

2022年11月17日，聯(lián)動優(yōu)勢電子商務有限公司因“違反規(guī)定將境內外匯轉移境外”，被國家外匯管理局北京外匯管理部罰款1095萬元。

復盤2022丨以案警示

反洗錢、數(shù)據(jù)保護等合規(guī)義務是每個金融機構、數(shù)字經(jīng)濟企業(yè)都需要履行的基本責任。伴隨各國監(jiān)管制度的細化與完善，違規(guī)企業(yè)不會逃脫嚴厲懲罰。走進新一年，企業(yè)能否適應從嚴的監(jiān)管要求，能否落實業(yè)務合規(guī)，決定了企業(yè)未來的生存力和競爭力。