“爲向您提供服務,我們會收集您在註冊賬戶時,向我們提供的個人信息;”、“未經您的同意,我們不會從第三方獲取、共享或向其提供您的任何信息”……這是新用戶在註冊超星學習通時平臺給出的“隱私政策”,新用戶勾選同意後方能進行下一步。

但就在近日,超星學習通數據疑似泄露一事持續發酵。6月21日,名爲M78安全團隊微信公衆號發文稱,高校學習軟件超星“學習通”的數據庫信息正被黑客在非法渠道售賣,兜售的數據包含姓名、手機號、性別、學校、學號、郵箱等信息,數量疑似達到1.7273億條。隨後,“學習通”話題一度登上微博熱搜第一。

當日下午,超星學習通官微就此事回應表示,尚未發現明確的用戶信息泄露證據,已經向公安機關報案,公安機關已介入調查。

但自6月21日以來,除不斷有高校學生在社交平臺曬出自己的超星學習通登錄界面,使用次數在幾萬次到幾百萬次不等,懷疑自己的個人信息已遭到泄漏外,還有多名學生表示,個人賬號登錄IP地址在境內境外不斷切換,有同學在線上考試中出現本人賬號異地登錄的情況,“差點試都考不了”。

與此同時,有媒體跟蹤後續報道表示,隨着超星學習通事件發酵,越來越多黑灰產買家和賣家參與其中,有賣家稱“已購入數據,入庫後免費開放查詢”,有買家在花費500美元購買到超星學習通數據後發現被騙。

“請大家不要購買此類數據,數據交易屬於嚴重的違法行爲。”6月23日,此次事件爆料人、北京某安全公司創始人邱同學對時間財經表示。

據邱同學描述,其是通過監控灰黑產關鍵詞發現的此次事件,“因爲長期對灰黑產關鍵詞進行監控,在一次日常監控中,我發現境外某黑產頻道正在對相關數據庫進行兜售,泄露的數據中包括了學習通所使用的特定通信地址,也監控到了相關關鍵詞。”

對於超星學習通數據疑似泄露的主要原因,在邱同學看來,“主要是平臺乃至整個教育行業對信息安全整體不加以重視導致的。”

隨着整件事情持續發展,邱同學也對時間財經坦言,自己也是一名在讀大學生,從事信息安全、網絡安全7年有餘,把這件事披露出來是希望能喚起整個行業對網絡安全的重視,“起碼關鍵的數據不能裸奔。”

遭用戶質疑使用次數與實際不符

公開資料顯示,“超星學習通”系北京世紀超星信息技術發展有限責任公司(下稱“北京世紀超星”)開發運營,是國內高校中普及率較高的一款APP,其功能包括網絡課打卡、考試監考等。

6月23日,時間財經查閱中國政府採購網也發現,近半年以來,北京世紀超星公司已中標包括復旦大學管理學院、北方民族大學、上海師範大學、樂山師範學院等學校的教育信息化項目。

6月23日,時間財經下載學習通APP也看到,其在安卓軟件系統下載次數達5億,評分只有1.1分。在超7000條評論中,不少最新評論的用戶指出自己數萬次使用與歇息泄露有關:“9萬次使用,連續的騷擾電話”、“爲什麼我一年打開學習通不超20次,你給我的使用次數是一萬多次。”

對此,超星學習通在發佈的《關於學習通使用量數據的說明》(下稱《說明》)中稱,使用量不是“使用學習通的次數”,而是用戶使用學習通時向服務器發出的頁面請求次數,類似於互聯網請求的pv值(pageview),“學習者有幾十萬學習通使用量是正常現象,不是賬號泄露的表現。”

在連續的否認中,網友似乎並不買賬。在前述《說明》微博下,評論區多位用戶仍發出質疑表示,“這個解釋可能說服不了我。”

圖源:“學習通”官微截圖

6月23日,時間財經多次致電北京世紀超星公司,截至發稿,電話未能接通。

對此,重慶盟昇律師事務所主任羅開誠律師告訴時間財經,首先“學習通”作爲平臺運營方,其數據信息泄露情況一旦屬實,應承擔相應的民事責任、行政責任;如系人爲故意售賣,相關責任人則涉嫌構成相應的刑事責任。

此外,羅開誠律師也對時間財經表示,根據《中華人民共和國個人信息保護法》的相關規定,若網上爆料“學習通”數據信息泄露情況屬實且被售賣,則涉嫌侵犯公民個人信息權,“從用戶來說,可以要求平臺停止侵權、消除影響、賠禮道歉、賠償損失,損失的賠償標準按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定;個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的,根據實際情況確定賠償數額。”

一年被披露3次漏洞

值得一提的是,時間財經查閱發現,國家信息安全漏洞共享平臺曾在2020年至2021年的一年間,3次披露超星學習通存在的安全漏洞問題,分別包括被XSS漏洞、信息泄露漏洞和邏輯缺陷漏洞。

具體來看,2020年5月披露的超星學習通App存在的XSS漏洞, “攻擊者可以利用漏洞獲取管理員cookie信息”;半年後的11月,超星學習通App再被披露存在信息泄露漏洞,“攻擊者可利用該漏洞獲取敏感信息”;而在2021年6月,超星學習通因“應用系統平臺存在邏輯缺陷漏洞。攻擊者可利用漏洞導致任意用戶賬戶登錄及泄露用戶信息。”再被國家信息安全漏洞共享平臺披露。

圖源:國家信息安全漏洞共享平臺

而根據平臺公示,自2020年信息泄露漏洞公佈後,超星學習通尚未提供修復方案。

在前述被質疑超1.7億學生數據被泄露後,超星學習通曾回應表示,其不存儲用戶明文密碼,採取單向加密存儲,理論上用戶密碼不會泄露,“公司確認網上傳言密碼泄露是不實的”。

“在算力足夠的情況下,可以破解部分較複雜的密碼。”邱同學對時間財經表示。此外,他也提到,如果密碼使用的是md5等算法,是可以通過彩虹表等暴力破解手段來破解非複雜密碼的。

時間財經在使用過程中也看到,超星學習通APP進行個人註冊需提供手機號碼,單位用戶則需在此基礎上提供個人姓名、登錄賬號以便單位管理統計。當用戶使用超星學習通中的打卡簽到、圖片上傳、超星課堂等功能時,可能會需要開啓位置信息、攝像頭、相冊、麥克風等訪問權限。

針對此,羅開誠律師也強調錶示,對於目前用戶在下載app時常被索要各種權限,而這些權限往往會超出應用範圍,而用戶不同意就無法使用的情況,根據《全國人民代表大會常務委員會關於加強網絡信息保護的決定》第二條規定,這種非必要性的強制授權行爲涉嫌侵犯了消費者的自主選擇權,一旦被舉報,其侵權行爲被查實,平臺將會承擔相應的法律責任。

而超星學習通是否具有妥善保護用戶信息的能力,在收集索取信息方面是否越界,是有理由打一個問號的。2021年1月,超星學習通兩次被工信部點名通報其違規收集用戶信息。同年7月,由於檢查未完成整改,該APP再度被工信部通報。

相關現象並非個例,但也造成了用戶網絡安全更大的隱患。目前,打擊泄露公民個人信息的“內鬼”,我國在法律層面有較爲充分的依據。近日,最高人民檢察院印發《關於加強刑事檢察與公益訴訟檢察銜接協作嚴厲打擊電信網絡犯罪加強個人信息司法保護的通知》要求,深入開展依法打擊行業“內鬼”泄露公民個人信息違法犯罪工作,積極配合“清朗”系列專項行動,探索積累常態化監督辦案的典型經驗。

而在2021年11月1日《中華人民共和國個人信息保護法》實施之際,靖江法院曾發佈五起侵犯公民個人信息典型案例,其中就包括一起教育機構將超6萬名學生信息泄露,最終,該教育機構職員吳某因經構成侵犯公民個人信息罪,最終被靖江法院判處刑罰。(時間財經 吳珊)

舉報/反饋
相關文章