关注！数据安全新动态（2025年6月·下篇）-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

容灾演练双月报｜美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

2025-01-10

生成式人工智能对网络安全的影响

2025-07-11

AI 智能体的安全性、风险与合规

2025-07-10

关注！数据安全新动态（2025年6月·上篇）

2025-07-08

被遗忘的远程访问工具如何将组织置于风险之中

2025-07-07

Gartner发布2025年中国人工智能十大趋势

2025-07-04

关注！数据安全新动态（2025年6月·下篇）

发布时间：2025-07-09 阅读次数： 52 次

国内外数据安全相关事件

3.1.国外数据安全相关事件

3.1.1.GonnaOrder平台因配置错误导致数据泄露

欧洲食品配送平台GonnaOrder因Kafka Broker实例配置错误，导致该平台一个不受保护的实例将实时订单信息暴露给公众。泄露的数据包括客户订单、餐厅和酒店订单、电话号码、电子邮件地址、家庭住址、交货单及使用的付款方式等。

来源：

https://cybernews.com/security/gonnaorder-food-delivery-data-leak/

3.1.2.Gargle公司数据库存隐患致270万患者信息暴露

Cybernews研究人员发现美国牙科诊所服务提供商Gargle因未加密的MongoDB数据库配置错误，导致270万名患者资料和880万条预约记录泄露。泄露的数据包括患者姓名、出生日期、电子邮件地址、住址、电话号码、性别、病历ID、语言偏好、账单详情及预约记录等敏感信息。

来源：

https://cybernews.com/security/dental-marketing-gargle-data-leak/

3.1.3.Cock.li确认数据泄露，超百万用户信息遭窃

电子邮件托管提供商Cock.li因已退役的Roundcube网络邮件平台漏洞，导致超过100万用户记录泄露。泄露的数据包括用户电子邮件地址和登录时间戳，但密码和邮件内容未受影响。

来源：

https://www.bleepingcomputer.com/news/security/hacker-steals-1-million-cockli-user-records-in-webmail-data-breach/

3.1.4.合规自动化商Vanta软件漏洞致客户数据泄露

合规自动化提供商Vanta由于产品变更引起的代码错误，致敏感员工数据、账户设置方式、双因素身份验证（MFA）使用详情及工具设置信息等被“错误地导入”到其他客户账户，事件影响数百名客户。

来源：

https://hackread.com/code-bug-compliance-vanta-data-leak-customer-clients/

移动互联网安全热点

4.1.国内移动互联网安全热点

4.1.1.工信部通报57款侵害用户权益行为的APP（SDK）

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，工信部组织第三方检测机构进行抽查，共发现57款APP及SDK存在侵害用户权益行为并予以通报。

来源：

https://wap.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_1b941e8dd0a64d5ba163cc4606c63b9b.html

4.1.2.公安部计算机信息系统安全产品质量监督检验中心发现45款违法违规收集使用个人信息移动应用

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，45款移动应用存在违法违规收集使用个人信息情况并予以通报。

来源：

https://mp.weixin.qq.com/s/1aCQ8SaOfP1GuVUTDEVYVA?scene=25&sessionid=-1333887364#wechat_redirect

4.1.3.国家计算机病毒应急处理中心发现64款违法违规收集使用个人信息移动应用

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，64款移动应用存在违法违规收集使用个人信息情况并予以通报。

来源：

https://www.cverc.org.cn/zxdt/report20250619.htm

4.1.4.北京开展民生消费领域数据安全和个人信息保护专项整治

移动互联网应用程序（包含App和小程序）广泛普及，在促进经济社会发展、服务便利民生等方面发挥了积极作用，但应用程序使用过程中，用户个人信息被商家过度强制收集、存储管理不当、违规使用加工、传输防护不足、擅自提供公开、删除注销设限的情况愈发突出。北京市互联网信息办公室会同有关部门组织开展了数据安全和个人信息保护专项整治行动，在随机抽取的197款应用程序中，发现并督导整改问题388个。

来源：

https://www.beijing.gov.cn/ywdt/gzdt/202506/t20250616_4113716.html?sessionid=-1333622571

4.2.国外移动互联网安全热点

4.2.1.SparkKitty间谍软件攻击iOS和Android设备

复杂间谍软件活动SparkKitty近日已成为iOS和Android用户的重大威胁。SparkKitty不仅通过非官方渠道传播，更成功渗透了Google Play和App Store等官方应用商店，主要窃取设备图库中的敏感图像数据。该恶意软件通常请求访问设备图库，窃取所有图像或选择性地使用OCR技术定位特定内容。分发方式同样具有欺骗性，涉及TikToki Mall等可疑在线商店、伪造的应用下载页面以及币coin和SOEX等加密主题应用。

来源：

https://gbhackers.com/sparkkitty-targets-ios-and-android-devices

4.2.2.GodFather恶意软件采用设备虚拟化技术劫持合法银行应用

银行恶意软件GodFather的高级变种出现。该变种引入了突破性的攻击方法，利用设备虚拟化技术来入侵合法移动应用程序。这种先进威胁不再使用传统的覆盖攻击，而是在受害设备上创建完全隔离的虚拟环境，执行更具欺骗性和有效性的金融欺诈操作。

来源：

https://cybersecuritynews.com/godfather-android-malware-leverages-on-device-virtualization-technique/

4.2.3.Google Play20多款恶意安卓应用窃取加密货币助记词

威胁情报公司Cyble发现Google Play商店上存在超过20款针对加密货币用户的恶意安卓应用。这些应用伪装成SushiSwap、PancakeSwap、Hyperliquid和Raydium等知名加密货币钱包，实际目的是窃取用户的12字助记词，从而获取对用户加密资金的控制权。尽管Google已移除多款应用，但仍有少数应用活跃在Play商店中。

来源：

https://hackread.com/malicious-apps-google-play-users-for-seed-phrases/

上一条：AI 智能体的安全性、风险与合规
下一条：关注！数据安全新动态（2025年6月·上篇）