近日,一款名为“超星学习通”软件进入公众视线,有消息称,该软件数据库信息被公开售卖,超1.7亿条运用者数据疑遭泄露,
一边收集运用者信息,一边又无力呵护,“学习通”是否被黑客攻击?信息保障如何保障?
信息疑遭泄露
6月21日,有消息称学生学习软件“超星学习通”数据库信息被公开售卖,其中泄露数据包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱等信息达1亿7273万条,
消息一经曝出便引发大量Follow,“学习通”话题一度冲上热搜榜最先個!
很多大学生体现自己“超星学习通”学习账号疑似被他人运用,账户查看次数大幅增加,甚至有人运用次数超过15万次,另外,还有很多学生体现,近期接到诈骗电话可以准确地报出自己姓名,身份证号以及支付宝相关信息,
学习通是一款什么样软件?一旦信息泄露,有多少运用者面对风险?
公开资料显示,“学习通”系北京世纪超星信息技术发展有限责任公司开发运作,是该公司旗下一款教育软件,在高校中普及率非常高,功能涵盖线上课程打卡、考试监考等,
另据天眼查招标信息显示,该公司有7519条招投标信息,其中6031条中标信息,是为河南、山东、四川、重庆、安徽、江西等数十個省份或地区大学、图书馆、政府机构等供应信息服务项目,
据学习通2021年4月发布超星集团宣传片提到,超星集团成立于1993年,旗下涵盖数字图书馆、学术检索网站、阅读器、学习通APP、智慧教室等产品,其中超星学习通注册师生超过6400万,
专家质疑
这般浩大运用者群体数据信息遭泄露,是真是假?
6月21日下午,“学习通”官微发布声明称,其不存储运用者明文密码,采纳单向加密存储,理论上运用者密码不会泄露,“公司确认网上传言密码泄露是不实,”另外还表达,收到运用者数据疑似泄露消息后,公司已连续技术排查十余小时,暂未发现明确运用者信息泄露证据,公安机关已介入调查,
对此,浙江理工大学法政学院特聘副教授、网络法研究所执行所长郭兵分析,“学习通”官方回应内容并非针对“疑似运用者数据泄露”,密码信息只是运用者信息其中一种,回复实质是答非所问,
声明中提到“暂未发现明确运用者信息泄露证据”,郭兵感觉,因员工是做外部因素排查未发现难题,不排除内部难题导致运用者個人信息遭泄露,倘若事实如报料人所说,目前已经泄露运用者姓名、学校、手机号等能对运用者形成完整画像全方位個人信息,加之这类信息不像密码那样可修改,“其所涉及风险会非常大,”
对于学习通方面对于数据泄露大事回应,北京汉华飞天信安科技有限公司总经理彭根表达,储存密码、数据泄露之间没有绝对联系,“只要系统存在漏洞,黑客就有大概模仿运用者登录过程,不须要密码也能窃取数据库信息,”
至于密码存储方法,彭根感觉没有所谓“单向加密存储”这样说法,他猜测大概是指无法逆方法,但他着重,这种方法倘若密码强度不够,只要有足够时间、算力,也可以被解开,
纵然学习通方面并未确认发现运用者数据泄露,但截至目前,已有多位学习通运用者在网上晒出登录后学习通页面,有显示运用次数高达十几万次,对此,学习通方面解释称,学习通运用量不是“运用学习通次数”,而是运用者运用学习通时向服务器发出页面请求次数,运用者正常学习话每天会有几百到上千运用量,因为这個,有几十万运用量“是正常现象,而不是账号泄露表现”,反而,有阅读时间为0分钟运用者运用量也达到上万条,
数据或已被多次倒卖
披露“学习通”数据泄露大事M78保障团队公众号目前已将相关文章删除,且发布一条消息称:关于某星学习通数据库疑发生信息泄露相关信息由我司相关保障研究员领先上市披露,介于大事正在调查过程中,为防止引发舆论过度Follow,文章在昨天下午已删除,相关难题暂时不予回复,相关部门已介入调查,
《科创板日报》近日采访该大事披露者——北京某网络保障公司发明者邱同学,他向记者表达,因永久对灰黑产根本词实行监控,在一次日常监控中,他发现境外某黑产频道正在对相关数据库实行兜售,由于泄露数据中涵盖学习通所运用特定通信地址,因而判断泄露自学习通概率非常大,
邱同学向《科创板日报》记者表达,不明身份人员6月18日在境外黑产频道发布兜售信息,但是泄露时间应远在此之前,
截图显示,黑客发布售卖信息公开要价预付金12000元,并声称可代付,受访者供图
邱同学告诉《科创板日报》记者,主张学生尽快修改密码,以防止撞库〔经由已泄露运用者密码尝试批量登陆其他网站〕,但是对于已经泄露個人信息,目前没有很非常好搞定措施,
“在设置密码时,主张带上特殊符号,这样能大大降低被破解风险,”
“劣迹”斑斑
值得注意是,《科创板日报》在国家信息保障漏洞共享平台上查询到,超星学习通在2020年至2021年间曝出过存在XSS漏洞、信息泄露漏洞、逻辑缺陷漏洞,其中,信息泄露漏洞为“超星学习通App存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息”,而逻辑缺陷漏洞为“超星学习通应用系统平台存在逻辑缺陷漏洞,攻击者可利用漏洞导致任意运用者账户登录及泄露运用者信息,”
根据平台公示,2020年信息泄露漏洞公布后,学习通尚未供应修复方案,
对于数据泄露原因,邱同学感觉,学习通被黑客攻击大概性非常大,显然也不百分之百排除内鬼大概性,
另有自称是前学习通校园平台业务线员工在社交平台表达,过去多次就运用者秘密、业务数据保障、身份权限机制设计、API接口管理、产品保障合规资质认证,向北京、武汉提整改主张,未获得回应,
光明网评论称,实际上,学习通是否具有妥善呵护运用者信息本事,在收集索取信息方面是否越界,是有理由打一個问号,2021年1月,学习通两次被工信部点名通报其违规收集运用者信息,同年7月,由于检查未完成整改,该APP再度被工信部通报,这些“劣迹”,加重运用者对这家公司怀疑,
企业泄露运用者個人信息,要被追究哪些法律责任?
北京市隆安律师事务所上海分所合伙人曹劭运感觉,纵然“学习通”《运用者协议》中提到相关免责情况,但根据《個人信息呵护法》第51条限定,就使发生计算机病毒或黑客攻击、系统不定鼎等客观情况,企业应举证证明其已经采纳合理、最优措施确保個人信息搞定活动合规性;且企业还应当举证证明在发生泄露大事后,已采纳相应补救措施,并通知履行個人信息呵护职责部门、個人,在企业无法完成相应举证责任情况下,企业仍具有一定过错,应向运用者承担侵权责任,
北京一法律师事务所律师周兆成感觉,倘若是公司内部员工泄露运用者個人信息,该员工将大概构成侵犯公民個人信息罪,情节严重将处三年以下有期徒刑同时处罚金;倘若情节极具严重话,则要处三年以上七年以下有期徒刑,罚金自然也是免不行,
“当個人信息被泄露后,运用者该如何维权?最先個步要做就是保留证据,保留好证据之后,向侵犯秘密单位或個人发出警告,要求他们必需删除自己秘密信息同时消除影响,或者咱们直接起诉该侵权单位或者個人,要求其承担侵害咱们秘密权赔偿责任,”周兆成说。
综合自财联社、光明网、每日经济新闻、中国经济周刊、南方都市报、天目新闻、证券日报等