盤點(diǎn)｜2022年違規(guī)與處罰重大案件：90%公民征信數(shù)據(jù)泄露，上億歐元反洗錢罰單…

伴隨各行各業(yè)數(shù)字化轉(zhuǎn)型的持續(xù)深入，網(wǎng)絡(luò)安全事件也層出不窮。數(shù)據(jù)泄露、網(wǎng)絡(luò)欺詐依舊在全球肆掠，數(shù)字生活、數(shù)字經(jīng)濟(jì)的方方面面都在考驗(yàn)著國家、企業(yè)、個(gè)人對(duì)于數(shù)字安全的風(fēng)險(xiǎn)控制能力。2022年即將過去，有哪些網(wǎng)絡(luò)安全事件需要我們銘記反思？

1.2022年2月下旬中國互聯(lián)網(wǎng)持續(xù)遭受境外網(wǎng)絡(luò)攻擊

2022年2月下旬，中國國家互聯(lián)網(wǎng)應(yīng)急中心檢測(cè)發(fā)現(xiàn)中國互聯(lián)網(wǎng)正在不斷遭到來自境外的網(wǎng)絡(luò)攻擊，境外組織控制中國境內(nèi)的計(jì)算機(jī)，并利用這些被控制的計(jì)算機(jī)向俄羅斯、烏克蘭和白俄羅斯發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

2.運(yùn)行十余年的黑客后門程序被曝光

2022年2月，美國“電幕行動(dòng)”（Bvp47）的完整技術(shù)細(xì)節(jié)和相關(guān)攻擊組織被某技術(shù)實(shí)驗(yàn)室曝光。這是黑客組織“方程式”制造的頂級(jí)后門程序，該后門程序在入侵目標(biāo)操作系統(tǒng)后可以實(shí)施監(jiān)聽行動(dòng)并控制整個(gè)目標(biāo)網(wǎng)絡(luò)，此黑客后門程序已持續(xù)十余年，監(jiān)聽了45個(gè)國家和地區(qū)、287個(gè)重要機(jī)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)。

3.科技巨頭英偉達(dá)和三星遭黑客攻擊，大量機(jī)密數(shù)據(jù)泄露

2022年2月，芯片巨頭英偉達(dá)遭到黑客組織Lapsus$攻擊，約1TB數(shù)據(jù)被竊取，其中包含英偉達(dá)GPU驅(qū)動(dòng)、算力軟件源代碼等高度機(jī)密數(shù)據(jù)，超7萬員工數(shù)據(jù)被泄露。

不久之后，韓國三星電子也承認(rèn)被同一個(gè)黑客組織攻擊，導(dǎo)致三星旗下的智能手機(jī)的源代碼泄露，泄露的190GB數(shù)據(jù)被拆分為三個(gè)壓縮文件供外界下載，其中包括生物識(shí)別算法以及來自高通的機(jī)密源代碼。

4.BlackMoon僵尸網(wǎng)絡(luò)在中國境內(nèi)感染數(shù)百萬計(jì)算機(jī)終端

2022年3月，中國互聯(lián)網(wǎng)應(yīng)急中心監(jiān)控發(fā)現(xiàn)，BlackMoon僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上大范圍傳播。通過跟蹤和監(jiān)測(cè)，1月份其控制的用戶規(guī)模（按IP號(hào)計(jì)算）已超過100萬。

5.南非90%公民征信數(shù)據(jù)泄露

2022年3月，國際信貸巨頭Transunion發(fā)表聲明確認(rèn)其在南非的分公司服務(wù)器被名為N4WootySectu的巴西黑客組織非法訪問。5400萬人（約占南非總?cè)丝跀?shù)90%以上）的個(gè)人信息，包括電話號(hào)碼、電子郵件地址、ID號(hào)碼、家庭地址和消費(fèi)者信用評(píng)分全部泄露。

6.上市企業(yè)郵箱遭入侵，損失356.9萬美元

2022年4月，HomeLegendLLC公司遭遇郵箱入侵，入侵者侵入了該公司租用的微軟365郵箱系統(tǒng)，通過偽造假電子郵件、供應(yīng)商文件及郵件路徑，騙取該企業(yè)356.9萬美元。

7.Harmony遭遇黑客攻擊，損失超1億美元

2022年6月，Harmony Horizon Bridge遭到黑客攻擊導(dǎo)致私鑰泄露，攻擊者盜竊了大量數(shù)字資產(chǎn)，損失預(yù)計(jì)超過1億美元。

8.系統(tǒng)漏洞導(dǎo)致250萬個(gè)學(xué)生個(gè)人信息泄露

2022年6月~7月，學(xué)生貸款服務(wù)商N(yùn)elnet Servicing因系統(tǒng)漏洞，導(dǎo)致超過250萬用戶的個(gè)人信息遭遇泄露。

9.Revolut數(shù)據(jù)泄露導(dǎo)致超過50,000名用戶個(gè)人信息被非法訪問

2022年9月，金融科技初創(chuàng)公司Revolut的50,000多名用戶的個(gè)人信息被非法訪問。訪問的數(shù)據(jù)包括姓名、家庭和電子郵件地址，以及部分支付卡信息。

10.快時(shí)尚品牌數(shù)據(jù)泄露未盡披露義務(wù)遭遇處罰

2022年10月，擁有快時(shí)尚品牌SHEIN和ROMWE的Zoetop Business Company因未能披露影響3900萬客戶的數(shù)據(jù)泄露事件而被紐約州罰款190萬美元。

11.黑客試圖在暗網(wǎng)上出售5億WhatsApp用戶的數(shù)據(jù)

2022年11月，一名黑客BreachForums發(fā)布了一個(gè)數(shù)據(jù)集，其中包含他們聲稱的來自84個(gè)國家/地區(qū)的4.87億WhatsApp用戶的最新個(gè)人信息。在帖子中，被指控的黑客表示，那些購買數(shù)據(jù)集的人將收到WhatsApp用戶的“最新手機(jī)號(hào)碼”。

12.Twitter被指控掩蓋影響數(shù)百萬人的數(shù)據(jù)泄露事件

2022年11月，洛杉磯網(wǎng)絡(luò)安全專家發(fā)布了一條關(guān)于社交媒體網(wǎng)站Twitter數(shù)據(jù)泄露的警告，據(jù)稱該事件已影響到美國和歐盟的“數(shù)百萬人”。在2022年7月，Twitter曾確認(rèn)因系統(tǒng)漏洞有540萬個(gè)用戶賬號(hào)的數(shù)據(jù)被泄露。

13.博彩公司遭遇撞庫攻擊導(dǎo)致用戶賬戶損失

2022年11月，體育博彩公司DraftKings部分用戶遭到了黑客組織的撞庫攻擊，該攻擊導(dǎo)致的損失高達(dá)30萬美元。攻擊者改變密碼，在不同的電話號(hào)碼上利用雙因素身份認(rèn)證（2FA）從受害者的網(wǎng)上銀行賬戶中提款。

媒體報(bào)道稱，2022年發(fā)生了超過4100起公開披露的數(shù)據(jù)泄露事件，大約220億條數(shù)據(jù)信息或個(gè)人記錄被曝光。根據(jù)2022年Verizon發(fā)布的數(shù)據(jù)泄露調(diào)查報(bào)告，網(wǎng)絡(luò)釣魚依舊是欺詐者或黑客攻擊企業(yè)數(shù)據(jù)時(shí)最常用的攻擊手段之一，金融機(jī)構(gòu)經(jīng)常成為網(wǎng)絡(luò)釣魚詐騙中被借用身份假冒的官方機(jī)構(gòu)。

2023年，伴隨各國都在逐步加強(qiáng)數(shù)據(jù)保護(hù)的監(jiān)管力度，企業(yè)和金融機(jī)構(gòu)務(wù)必要繼續(xù)警惕欺詐導(dǎo)致的數(shù)據(jù)泄露威脅。加強(qiáng)反欺詐的智能風(fēng)控解決方案的部署，可以有效降低企業(yè)在業(yè)務(wù)中遭遇欺詐的風(fēng)險(xiǎn)。

而在另一方面，積極落實(shí)合規(guī)義務(wù)，既可以降低遭遇欺詐的風(fēng)險(xiǎn)，也可能在遭遇數(shù)據(jù)泄露相關(guān)事件的司法起訴時(shí)，獲得免于起訴或減輕懲罰的可能性。近年來，各國對(duì)金融機(jī)構(gòu)、企業(yè)違反合規(guī)義務(wù)的處罰金額屢創(chuàng)新高，尤其是針對(duì)違反反洗錢合規(guī)義務(wù)的機(jī)構(gòu)。

回顧2022年，下列重拳整治的反洗錢和金融業(yè)務(wù)違規(guī)懲罰案件，值得我們銘記警惕。落實(shí)反洗錢等業(yè)務(wù)合規(guī)義務(wù)，是每個(gè)金融機(jī)構(gòu)、企業(yè)需要重視的運(yùn)營底線責(zé)任。

丹麥：丹斯克銀行因國際洗錢丑聞被罰款4.7億歐元

2022年12月，丹麥金融監(jiān)管機(jī)構(gòu)向當(dāng)?shù)刈畲蟮你y行丹斯克銀行處以35億克朗的罰款。因其在2007年至2015年期間，約有2000億歐元通過其愛沙尼亞子公司洗錢。

檢察官表示，這是丹麥洗錢案中“有史以來最大罰款?！痹缦?，這家銀行還牽扯進(jìn)美國的欺詐案件。

英國：桑坦德銀行因未落實(shí)反洗錢合規(guī)義務(wù)被罰款1.078億英鎊

2022年，英國監(jiān)管機(jī)構(gòu)對(duì)桑坦德銀行處以1.078億英鎊的罰款。處罰原因是這家西班牙銀行的英國分部在2012年至2017年間，沒有正確履行客戶身份驗(yàn)證服務(wù)。

這是英國監(jiān)管機(jī)構(gòu)近期罰款金額最大的反洗錢處罰案件。

馬耳他：匯豐銀行違反反洗錢法被處罰

因違反當(dāng)?shù)胤聪村X法，匯豐銀行被馬耳他金融情報(bào)分析部處以82,000歐元的罰款。

美國：加密數(shù)字資產(chǎn)高管違反反洗錢法，被判處一年緩刑和15萬美元罰款。

BitMEX的前首席執(zhí)行官在承認(rèn)違反《銀行保密法》后因故意未能在交易所實(shí)施反洗錢計(jì)劃而被判處緩刑。

阿聯(lián)酋：對(duì)六家違反反洗錢法的非金融公司處以320萬迪拉姆（約合871000美元）罰款。

阿聯(lián)酋正在加強(qiáng)反洗錢監(jiān)管，這些非金融企業(yè)或?qū)I(yè)人士包括房地產(chǎn)經(jīng)紀(jì)公司、貴金屬和寶石經(jīng)銷商、審計(jì)師和企業(yè)服務(wù)提供商。

中國：37家銀行涉及反洗錢違規(guī)，9家銀行領(lǐng)涉反洗錢百萬級(jí)罰單

2022年10月到12月，中國央行重拳整治銀行反洗錢違規(guī)，對(duì)37家涉及反洗錢違規(guī)的銀行做出了嚴(yán)厲懲罰，機(jī)構(gòu)罰金共計(jì)3645萬元，個(gè)人罰金共計(jì)124萬元。其中還開出了9張百萬元以上罰單，雙罰制比例已達(dá)到100%。

圖片來源：21世紀(jì)經(jīng)濟(jì)報(bào)道

中國：多家非銀行支付（第三方支付）機(jī)構(gòu)領(lǐng)到監(jiān)管罰單，個(gè)別機(jī)構(gòu)的罰單金額甚至遠(yuǎn)超大型商業(yè)銀行

2022年11月18日，百聯(lián)優(yōu)力（北京）投資有限公司因“未落實(shí)防范電信詐騙風(fēng)險(xiǎn)相關(guān)要求，未落實(shí)商戶實(shí)名制管理要求，未落實(shí)商戶結(jié)算管理要求，未落實(shí)外包管理相關(guān)規(guī)定”等4項(xiàng)問題，被中國人民銀行處以高達(dá)6489萬元的罰沒款處罰。

2022年11月17日，聯(lián)動(dòng)優(yōu)勢(shì)電子商務(wù)有限公司因“違反規(guī)定將境內(nèi)外匯轉(zhuǎn)移境外”，被國家外匯管理局北京外匯管理部罰款1095萬元。

復(fù)盤2022丨以案警示

反洗錢、數(shù)據(jù)保護(hù)等合規(guī)義務(wù)是每個(gè)金融機(jī)構(gòu)、數(shù)字經(jīng)濟(jì)企業(yè)都需要履行的基本責(zé)任。伴隨各國監(jiān)管制度的細(xì)化與完善，違規(guī)企業(yè)不會(huì)逃脫嚴(yán)厲懲罰。走進(jìn)新一年，企業(yè)能否適應(yīng)從嚴(yán)的監(jiān)管要求，能否落實(shí)業(yè)務(wù)合規(guī)，決定了企業(yè)未來的生存力和競爭力。