网络安全/数据安全事件汇总2021-2025

2021年数据安全事件

2021年，全球数据安全事件频发，涉及大规模数据泄露、网络攻击和监管处罚等多个方面。以下基于公开信息对主要事件进行汇总。

大规模数据泄露事件：2021年，多起数据泄露事件涉及数亿条个人信息，影响范围广泛。例如，1月，国外安全团队发现多个帖子出售与中国公民相关的个人数据，记录总数超过2亿条，数据可能来自微博、QQ等平台，其中包含湖北省公安县的公民数据样本；同月，国内某银行发生数据泄露，1679万条用户数据被售卖，内容包括姓名、身份证号、手机号等；初创公司Socialarks因ElasticSearch数据库配置错误导致408GB数据泄露，影响全球超过3.18亿用户，涉及Instagram、LinkedIn等多个平台用户；西山居旗下逍遥网在3月遭受DDoS攻击和服务器入侵，部分用户账号信息和加密密码外泄；广达电脑公司在4月遭黑客入侵，数据被勒索软件团伙窃取。

网络攻击与恶意活动：网络攻击形式多样，包括勒索软件、钓鱼网站和病毒传播。incaseformat病毒在1月以蠕虫形式爆发，感染政府、医疗、教育等多个行业主机，导致文件被删除；短信钓鱼攻击从春节后持续发生，攻击者伪装成农信社和城商行发送虚假短信，诱导用户点击钓鱼链接盗取资金；REvil勒索软件团伙在3月和4月分别入侵宏碁和广达电脑公司，要求赎金5000万美元，创下纪录。

个人信息滥用与典型案例：个人信息滥用问题突出，包括非法买卖和滥用案例。全国首例适用民法典的个人信息保护案在1月宣判，被告非法买卖个人信息4万余条，被判处赔偿和公开道歉；建设银行湛江分行因客户信息安全管理不到位被罚20万元，涉事经理因泄露31465条客户信息获利被判刑；中信银行因违规查询和提供客户账户信息被罚450万元；央视315晚会曝光商家滥用人脸信息、简历平台泄露简历等乱象。

监管处罚与行业影响：监管机构加强处罚力度，多家企业因数据安全管理不善被重罚。银保监会在1月和3月对农行和中信银行分别罚款420万元和450万元，原因包括未报告突发事件、数据泄露风险等；网贷公司因侵犯个人信息被罚320万元；镇江丹阳警方侦破一起贩卖6亿条个人信息的案件，30名嫌疑人被抓获。

2022年数据安全事件

2022年发生了多起具有广泛影响的数据安全事件，涉及企业数据泄露、间谍活动和基础设施攻击等类型，凸显了全球数据保护面临的严峻挑战。

企业数据泄露事件： 2022年8月至10月，密码管理器LastPass因安全防护不足发生重大数据泄露，黑客通过入侵开发人员设备并利用高管家用设备漏洞，窃取了约160万英国用户的姓名、电子邮件、电话号码及加密密码库备份，暴露了远程办公环境中的供应链风险；此外，美国医疗信息技术公司Change Healthcare在2022年遭受勒索软件攻击，导致大量美国人的私人医疗数据被盗，影响范围覆盖美国相当一部分人口。

间谍与情报活动： 2022年2月21日，中国国家安全机关抓获《光明日报》评论员董郁玉，其因涉嫌间谍罪被判处有期徒刑七年，事件涉及向境外非法提供情报；同年，英国秘密情报局（MI6）策反中国某中央国家机关工作人员王某某夫妇，试图获取涉密信息，暴露了涉密人员管理中的安全隐患。

基础设施与敏感信息泄露： 2022年，美军装备的机密性能手册（包括F-15、F-35战斗机及无人机信息）被泄露至互联网，允许公开下载，对国家安全构成严重威胁；同时，运动软件Strava因记录用户活动轨迹，间接暴露了法国总统马克龙等国家元首的出访路线及安保人员信息，凸显了个人设备数据收集中的隐私风险。

2023年数据安全事件

2023年，数据安全事件频发，涉及多种类型，包括黑客攻击、内部泄露、网络水军活动等，相关执法部门对涉案单位和个人进行了行政处罚或刑事处理。

2023年数据安全事件主要包括以下典型案例：

• 厦门科技公司数据泄露事件：2023年2月，该公司信息系统被黑客攻击，导致大量用户信息泄露，犯罪嫌疑人通过黑客手段非法获取并转卖公民个人信息，涉案金额200余万元，公安机关抓获7名犯罪嫌疑人，并对未履行网络安全保护义务的科技公司给予行政处罚。
• 龙岩房地产公司内部信息泄露事件：同年2月，该公司的员工利用职务便利非法获取业主信息并向外部出售，信息被用于营销骚扰，公安机关抓获14名犯罪嫌疑人，并对相关单位启动“一案双查”行政处罚。
• 三明网络水军“软暴力”催收事件：2023年3月，某信息咨询有限公司组织网络水军通过电话、短信等方式滋扰借款人，涉嫌寻衅滋事，公安机关抓获15名犯罪嫌疑人。
• 泉州网络谣言事件：2023年5月，违法嫌疑人郭某为博取流量编造并传播谣言，如“死了3个人”等不实信息，扰乱公共秩序，公安机关对郭某予以行政处罚并关停相关账号。
• 福州“木马”投毒事件：2023年6月，犯罪团伙通过发送带有“木马”的图片和链接非法获取企业和个人数据，向境外诈骗团伙提供精准目标，公安机关抓获8名犯罪嫌疑人，排查2000余家受害单位。
• 南平线上赌博事件：同年6月，犯罪团伙在境外架设赌博网站并通过篡改后台数据控制输赢，公安机关抓获46名犯罪嫌疑人。

2024年数据安全事件

2024年，数据安全事件频发，涉及金融、互联网、制造业等多个行业，主要违规行为包括数据管理不善、技术防护不足、隐私政策不合规及第三方合作管控薄弱等。 以下按行业分类汇总典型事件。

金融行业事件突出表现为数据安全管理不到位和隐私违规。 例如，某银行因数据安全管理不到位、运维管理不到位等八项违法违规行为被罚款290万元；多家银行如乐山商业银行、厦门银行等因移动应用未明示收集个人信息、隐私政策不完整等问题被通报；某期货公司因交易系统运维权限设置不当、安全策略测试不充分等问题被采取监管措施。

互联网与信息技术领域事件集中于网站安全防护缺失和数据泄露。 例如，某信息技术有限公司网站因未落实网络安全等级保护要求被植入暗链，被警告并责令整改；某集团网站因系统漏洞未及时修复被警告；某网站因未及时注销ICP备案导致域名被篡改发布有害信息，被行政处罚；某企业网络系统因数据安全制度不健全被罚款。

制造业及其他行业事件涉及系统攻击和内部管理疏忽。 例如，某制造业企业OA系统因未关闭弃用端口遭黑客攻击篡改，被网信部门处罚；某物业服务公司因随意放置业主个人信息被行政处罚。

共性问题与监管趋势显示，事件多源于技术防护不足、内部管理粗放及合规意识薄弱。 监管部门依据《网络安全法》《数据安全法》《个人信息保护法》等法规加大处罚力度，事件类型包括数据泄露、系统篡改、隐私违规等，凸显加强技术投入、完善内部制度和强化第三方管控的必要性。

2025年数据安全事件

2025年，数据安全事件频发，涉及Web3领域、企业系统及应用程序等多个方面，损失金额显著上升，攻击类型呈现多样化和复杂化趋势。

Web3领域安全事件损失显著上升，全年共发生630起安全事件，造成总计约33.5亿美元损失，较2024年同比增长37%；尽管事件数量减少137起，但单次攻击平均损失达532.2万美元，同比激增66.6%，反映出攻击者向高价值目标集中的趋势。 攻击类型中，供应链攻击成为损失最大的风险源，全年仅记录到两起事件，但累计损失高达14.5亿美元，占总损失近一半，其中2月的Bybit事件是主要贡献因素；网络钓鱼仍是常见威胁，全年记录248起攻击事件，造成约7.23亿美元损失，发生次数略高于代码漏洞攻击（240起），且人工智能技术被用于生成高度仿真的钓鱼网站和多语言诈骗信息，提升了攻击成功率与隐蔽性。

企业数据泄露案例涉及多种漏洞类型，国家网信办发布的典型案例显示，主要问题包括：

• 漏洞利用：如广东某科技股份有限公司因任意文件上传漏洞遭受勒索软件攻击，导致网页篡改；山东某医学检验有限公司因目录遍历和未授权访问漏洞造成数据泄露。
• 配置错误：浙江某科技股份有限公司因FTP系统设置匿名访问且安全组规则失效，导致数据被窃取；重庆某科技公司因数据库弱口令漏洞（3306端口开放且无密码）造成数据多次窃取。
• 管理缺陷：新疆某互联网科技有限公司因网站管理员休假导致安全缺陷未及时修复；湖南某科技股份有限公司因内网数据库未授权访问和弱口令，且违规开放互联网端口，导致数据暴露。
  这些事件均违反《网络安全法》《数据安全法》等法规，相关企业被责令改正并处以警告或罚款。

应用程序违规收集个人信息问题突出，国家网信办案例显示：

• 北京某科技有限公司运营的App被查实在未使用功能时后台收集用户应用程序安装、卸载信息，违反最小必要原则。
• 上海某科技有限公司运营的自动售货机未经同意收集人脸信息，且系统存在SQL注入高危漏洞。
• 浙江某科技有限责任公司运营的App提供深度合成服务（如AI换脸）未按规定进行安全评估，相关功能未作显著标识。
  这些行为违反《网络安全法》《个人信息保护法》等规定，部分App被下架处置。

整体趋势显示数据安全风险持续演变，Web3领域攻击向高价值目标集中，传统威胁如网络钓鱼因AI技术应用而升级，企业数据泄露多源于技术漏洞与管理疏忽，应用程序问题则聚焦于合规性不足，凸显加强技术防护、完善管理制度和遵守法规的必要性。