境外机构以免费设备为诱饵，窃取我国飞行器数据构成国家安全威胁；

近期，国家安全机关工作发现，多个境外机构以免费提供设备、共享航空信息为诱饵，依托网络社交平台面向境内航空爱好者精准招募“志愿者”，并跨境邮寄设备，指挥“志愿者”在我境内非法采集、向境外秘密传输我国飞行器飞行数据。以下是他们可能采用的一些花招：

1. 定向招募航空爱好者： 这些机构通过在微博、贴吧、论坛、QQ群、视频网站等网络平台活动，寻找并招募活跃的航空爱好者。通过个性化和定制化的招募广告，利用航空爱好者对航空信息的兴趣，吸引志愿者参与。

2. 诱饵为设备和共享信息：为了吸引志愿者，这些机构使用设备和共享信息作为诱饵。他们承诺免费提供便携式信号接收设备，并许诺共享航空信息。这些承诺旨在满足志愿者对飞行器相关信息的好奇心。

3. 国际快递邮寄设备：一旦有志愿者响应，境外机构通过国际快递将便携式信号接收设备寄送给志愿者。这有助于确保设备的快速、远程投放。

4. 远程指导和在线编程： 这些设备支持远程在线编程，允许境外机构远程指导志愿者在中国境内航空枢纽附近投放设备。这种方式使得设备可以根据需要定制出特定的功能。

5. 窃取并传输数据： 设备内置GPS芯片，可以对指定飞行器进行定位，并通过加密传输方式将采集到的飞行数据实时传输到境外机构指定的服务器上。

6. 威胁航空安全：投放大量设备可能覆盖整个空域，监测我国飞机的飞行数据。同时，非法设备的工作可能对民航空管系统和军用空管系统造成信号干扰，构成潜在的威胁。

7. 国家安全机关打击行动： 国家安全机关与有关部门展开专项打击行动，查获了数百套已在境内投放的设备，并对涉及的人员依法进行处罚。

国家安全机关提示：

《中华人民共和国反间谍法》规定，境外机构、组织、个人实施或者指使、资助他人实施，或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供关系国家安全和利益的数据，属于间谍行为。

《中华人民共和国数据安全法》规定，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

北京多家公司因不履行网络安全保护义务被处罚！

履行网络安全保护义务是每一位网络运营者的责任。今年以来，北京市公安局网安部门大力加强网络秩序清理整顿，积极开展网络安全检查，对多家不履行网络安全保护义务的单位依法予以处罚。

01

数据泄漏

2023年6月，昌平网安部门检查发现，昌平某生物技术有限公司存在数据泄漏的情况，其委托的另一软件公司研发的“基因外显子数据分析系统”，包含公民信息、技术等信息，涉及泄露数据总量达19.1GB。

经检查，该软件公司在开发系统互联网测试阶段，未对相关数据进行加密，未落实安全保护措施，属于未履行数据安全保护义务。

北京市公安局昌平分局依据《中华人民共和国数据安全法》第四十五条第一款规定，给予警告并处罚款五万元的行政处罚。

02

弱口令账号

2023年7月13日，朝阳网安部门检查发现，朝阳某教育公司数据被泄漏到境外非法网站上，该公司的一个客户关系管理系统内存储的该公司员工账号以及对应客户姓名、手机、下单时间、成交金额等12余万条信息被泄漏。

经现场检查发现，因该公司技术人员在对系统测试过程中，将有权限的测试账号设为弱口令，且系统正式使用后未将测试账号进行清空删除处理。

该公司未建立数据安全管理制度和操作规程，系统未进行网络安全评估，同时此账号因弱口令被黑客破解造成大量公民个人信息被盗取泄漏，涉嫌违反《中华人民共和国数据安全法》第二十七条之规定。北京市公安局朝阳分局给予该公司罚款五万元的行政处罚。

03

密码爆破

2023年8月1日，一境外论坛发布题为“某教育站点教70多万订单信息”的帖文，疑似北京某教育公司发生数据泄露，针对此情况，海淀网安部门立即开展核查处置工作。

经查，该公司教务排课系统在账号密码传输前未进行加密传输，存在账号密码爆破的可能。黑客可通过爆破手段获取账号密码，通过访问导出大批量后台数据，造成数据泄漏。

该公司未建立全流程数据安全管理制度、未落实网络安全等级保护制度、未履行数据安全保护义务，违反了《中华人民共和国数据安全法》第二十七条、第四十五条之规定。北京市公安局海淀分局对该公司给予了罚款五万元的行政处罚，给予直接负责的主管人员罚款一万元的行政处罚。

04

网站篡改

2023年9月14日，房山网安部门在对某科技公司检查时发现，该公司网站网页源代码被篡改，网站链接跳转到境外赌博网站，易引发网络赌博或网络诈骗案件。

经查，该科技公司没有建立管理制度，没有定期开展漏洞扫描，未依法采取防范计算机病毒和网络攻击、网络侵入等技术措施，导致网站前端源代码泄漏，造成网站内容被篡改，违反了《中华人民共和国网络安全法》第二十一条规定，属于不履行网络安全保护义务行为，北京市公安局房山分局对运营者责令改正，给予警告处罚。

《中华人民共和国网络安全法》

第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

《中华人民共和国数据安全法》

第二十七条

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

【网警有话说】

再次提醒网络运营者

依法履行网络安全保护义务

切实维护网络安全和数据安全

没有网络安全就没有国家安全

文章来源 ：安全圈、北京网警

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

web渗透入门基础篇|充电

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍