来源:数据观综合自中国青年报、@学习通、观察者网、红星新闻 时间:2022-06-22 14:17:52 作者:蒲蒲
6月21日,话题#学习通数据库疑发生信息泄露#冲上微博热搜。相关爆料信息显示,大学生学习软件“超星学习通”疑似出现数据库泄露,被公开售卖的数据里包括姓名、性别、手机号、学校、学号等。
消息一经爆出,立马引得网友广泛关注和讨论。
有网友质疑,这就是所有学校推荐的软件吗?为什么要这么多个人信息。
也有网友表示,最近骚扰电话也更多了。
披露者已将文章删除
据 M78 安全团队公众号发文称,大学生学习软件超星学习通的数据库信息正在被黑客在非法渠道售卖,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条,引发网友热议。
目前该公众号已经将该文章删除,并且发布了一条消息称,关于某星学习通数据库疑发生信息泄露相关信息由我司相关安全研究员首发披露,介于事件正在调查过程中,为避免引发舆论过度关注,文章在昨天下午已删除。相关问题暂时不予回复,相关部门已介入调查。
学习通回应:未发现明确的用户信息泄露证据
21日下午,学习通在官博公开回应称,公司于20号晚收到“疑似学习通APP用户数据泄露”的反馈信息,立即组织技术排查,已持续十余个小时,暂未发现明确的用户信息泄露证据。鉴于事情重大,公司已经向公安机关报案,公安机关已经介入调查。
学习通方面还强调,网上传言密码泄露不实。因为其不存储用户明文密码,采取单向加密存储,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文,“理论上用户密码不会泄露”。
尽管学习通方面并未确认发现了用户数据泄露,截至目前,已有多位学习通用户在网上晒出登录后的学习通页面,有的显示使用次数高达十几万次。还有网友称,自己近日收到不少骚扰电话,怀疑与学习通数据泄露有关。
对此,学习通方面解释称,学习通使用量不是“使用学习通的次数”,而是用户使用学习通时向服务器发出的页面请求次数,用户正常学习的话每天会有几百到上千使用量。因此,有几十万使用量“是正常现象,而不是账号泄露的表现”。
涉事公司曾被工信部通报
天眼查显示,学习通关联企业北京世纪超星信息技术发展有限责任公司成立于2000年1月,注册资本3000万人民币,经营范围含技术开发、技术推广、技术咨询、技术服务;计算机技术培训;零售电子出版物等。
风险信息显示,该公司关联数千条法律诉讼,多数为侵害作品信息网络传播权纠纷、著作权权属、侵权纠纷,涉及公司包括知网、北京大学出版社、中国社会科学出版社以及版权代理公司、传媒公司等。
超星学习通是在大学中普及率非常高的一款 App,其功能包括网络课打卡、考试监考等。iOS 版本的学习通目前共获得了12万个评分,其平均评分仅为 1.4(满分5分)。有多位给出一星评价的用户提到,超星学习通涉嫌过度收集隐私信息,为实现考试监考功能,用户“必须开麦克风、必须开摄像头、必须实名制”。
据了解,用户在注册学习通前需要阅读《隐私条款》和《用户协议》。其中,《隐私政策》提及,学习通提供服务时,可能会收集、储存和使用用户的手机号码、个人姓名、登录账号、位置权限、基于摄像头(相机)的附加功能、基于图片上传的附加功能、基于语音技术的附加功能、查看WLAN状态、读取SD卡、监听手机通话状态、悬浮窗权限、蓝牙权限、GETTASKS权限、设备信息、软件信息等。
另外,学习通的《用户协议》中提及到“其他免责声明”内容,表示对于因不可抗力或平台方不能预料、不能控制的原因(包括但不限于计算机病毒或黑客攻击、系统不稳定、用户不当使用账户、以及其他任何技术、互联网络、通信线路原因)产生的包括但不限于用户计算机信息和数据的安全问题,用户个人信息的安全问题等给用户或任何第三方造成的损失,平台方不承担任何责任。
查询国家信息安全漏洞共享平台发现,2020年3月学习通App曾被发现存在XSS漏洞(跨站脚本攻击,指可利用网站漏洞从用户恶意盗取信息);同年11月又被发现存在信息泄露漏洞,危害级别为“中”。2021年9月和11月,学习通更新了两个补丁。
此外,去年1月22日,中华人民共和国工业和信息化部曾通报的一批关于侵害用户权益行为APP中,由北京世纪超星信息技术发展有限责任公司开发的“学习通”也被指出涉及违规收集个人信息。
近年来,教育类APP侵犯用户信息安全的案例屡见不鲜。
自2019年12月起,工信部开始披露《关于侵害用户权益行为的APP通报》。其首次披露的41款APP存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题。
此后,自2020年5月起,工信部每个月都会披露一批违规APP名单,而几乎每一期的名单中都会涉及到部分违规的教育APP。
而最近的一次通报是在2022年6月1日,其中违规APP涉及84款,包括教育类APP 9 款。违规收集或使用个人信息、欺骗误导强迫用户、强制频繁过度索取权限成为教育类APP违规中最为高发的问题。
图注:工业和信息化部通报存在问题的 APP 名单
(2022 年第 4 批,总第 24 批)
截至目前,被工信部点名通报的教育类 APP 已达上百种,其中不乏知名企业推出的产品。
多部门出手规范教育类APP
近两年,国家相继出台了一系列教育数据安全保护的政策法规,为教育行业数据安全治理提供了重要的指导和参考。
2021年4月,教育部等七部门发布《关于加强教育系统数据安全工作的通知》,提出建立教育系统数据安全责任体系和数据分类分级制度,形成教育系统数据资源目录;健全覆盖数据收集、传输存储、使用处理、开放共享等全生命周期的数据安全保障制度,开展常态化的数据安全监测预警通报。
2021年9月,教育部等六部门发布《关于做好现有线上学科类培训机构由备案改为审批工作的通知》(下称《通知》),要求强化教育App网络与数据安全监管,为个人隐私和信息安全筑起保护屏障。对于教育移动互联网应用程序(教育APP)的管理,《通知》要求教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
同时,教育部、中央网信办等八部门还联合发布《关于引导规范教育移动互联网应用有序健康发展的意见》,对规范数据管理方面提出明确要求。其中指出,教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制;按照「后台实名、前台自愿」的原则,对注册用户进行身份信息认证;收集使用个人信息应当明示收集使用信息的目的、方式和范围,并经用户同意;收集使用未成年人信息应当取得监护人同意、授权;不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供服务无关的个人信息,不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人信息。
教育App提供者应根据教育部相关通知、国家网络安全法、数据安全法等法律法规要求,定期进行自纠自查,严格落实教育网络与数据安全的要求,为用户信息安全做好保驾护航工作。作为个人用户来说,对自身数据安全的防护主要还是在提升防范意识方面。例如,不轻易打开不明链接;在正规的应用商店下载软件;非使用必要不提供软件授权;软件使用完毕后及时关闭软件,谨防数据被从后台获取。
责任编辑:蔺弦弦