媒體六問“學習通數據疑泄露”:如何被竊取?平臺要擔何責?


近日有微博網友曝料稱,學習軟件超星學習通的數據庫信息疑似被公開售賣,其中疑似泄露的數據包含姓名、手機號、性別、學校、學號、郵箱等信息1.7273億條,含密碼1076萬條。

來源:中國消費者報

▲截至記者發稿時,“學習通”話題在微博閱讀量已超過3億次。

▲截至記者發稿時,“學習通”話題在微博閱讀量已超過3億次。

數據是如何被竊取的?超星學習通該擔何責?消費者應該如何保護個人數據隱私?記者就此采訪瞭相關專傢。

信息是如何被泄露的?

據瞭解,超星學習通是在大學中普及率非常高的一款APP。泄密事件發生後,社交媒體和應用商店裡該APP評價欄中,有大量學生表示近期有自己信息被泄露的征象。

“從過去多起數據泄露事件來看,造成企業數據泄露的原因既可能是外部的也可能是內部的。”奇安信數據安全專傢、數據安全子公司副總經理姚磊對記者說,“攻擊者可能利用目標系統漏洞或者竊取到的特權賬戶,獲取瞭相應數據庫管理員的權限,從而完成拖庫行為。”

姚磊認為,內部原因分兩種:第一種有可能是運維人員的不當操作致使數據意外泄露,第二種則是有內鬼作祟。

奇安信集團副總裁、創新BG負責人孔德亮在接受記者采訪時表示,信息泄露事件頻發,表明很多企業、機構的數據處在“裸奔”狀態,這是數據安全當前的首要問題,防裸奔、補短板迫在眉睫,包括對內部超越權限或者高危操作的嚴格控制。

密碼加密是否就不會泄露?

此次事件中,超星學習通方面強調,網上傳言密碼泄露不實。因為他們不存儲用戶明文密碼,而是采取單向加密存儲,在這種技術手段下,即使公司內部員工(包括程序員)也無法獲得密碼明文,因此“理論上用戶密碼不會泄露”。

“密碼存儲加密僅僅是對密碼在整個生命周期過程中的存儲環節進行安全防護。”極盾科技CTO 鄭冬東對記者說,無論對用戶還是對平臺,密碼泄露的渠道非常多。在其他環節,比如密碼采集(即獲取用戶輸入的密碼)、傳輸、使用等環節,如果沒有相應的防護措施,均有可能被泄露。

即便密碼可以保證不發生泄露,也無法保證其他敏感信息,比如學生證、身份證不被泄露。所以,敏感信息泄露保護不僅僅是保護密碼不被泄露。

鄭冬東認為,對個人而言,可以使用並定期更換高復雜度的密碼、不安裝未知來源的APP、及時升級系統、安裝殺毒軟件等手段進行防范。

超星學習通要擔何責?

中國電子技術標準化研究院信息安全研究中心審查部總監、3·15信息安全實驗室專傢何延哲對記者說:“平臺承擔責任的前提,首先是落實數據泄露渠道”。

何延哲表示,超星學習通方面聲稱已經報警,如果警方有證據證明是學習通泄密,那超星學習通就違反瞭個人信息保護法律法規,如果企業的安全措施沒做到位導致個人信息遭受侵犯,此前又沒有告知用戶采取修改密碼等措施降低風險等,依法就應受到處罰。

記者研究超星學習通的用戶協議發現,“其他免責聲明”中表示,對於因不可抗力或平臺方不能預料、不能控制的原因(包括但不限於計算機病毒或黑客攻擊、系統不穩定、用戶不當使用賬戶,以及其他任何技術、互聯網絡、通信線路原因)產生的包括但不限於用戶計算機信息和數據的安全問題,用戶個人信息的安全問題等給用戶或任何第三方造成的損失,平臺方不承擔任何責任。

“這項條款是否有效,要看平臺是否盡到技術安全保障的義務。”北京雲嘉律師事務所律師趙占領對記者說,“如果是因為學習通系統本身就存在漏洞導致黑客入侵,免責條款就是無效的,學習通仍然要承擔相應的法律責任,賠償用戶的損失。”

為何不下架?

在iOS應用商店,不少用戶在評論區吐槽、質問。“考試的時候都會截屏、要打開攝像頭,很過分。”浙江海洋學院的王子新對記者說,她不明白,長期評分這麼低的軟件為何不被下架?這麼明目張膽侵犯學生隱私的APP為什麼必須要用呢?

▲話題曝光後,在iOS應用商店,這款本來就評分超低(1.4分,總分5分)的軟件,一天之內評分更低至1.3分。

▲話題曝光後,在iOS應用商店,這款本來就評分超低(1.4分,總分5分)的軟件,一天之內評分更低至1.3分。

“一般來說,不會因為評分低而下架。”何延哲說,“因為評分是一個主觀意願,也存在惡意打低分的情況。而下架處理相當於商品不能出售,類似於一個行政處罰措施。但是超星學習通這個評分已經足夠可以提醒用戶這個軟件不太好,所以在下載使用時就需要更加警惕。”

對於用戶反映的超星學習通評分如此低為何還必須使用,何延哲認為,如果這個APP是在某一些場景下被某個部門強推的,要求學生在教學、考試中必須下載該APP,而這款APP得分又比較低,其安全措施又沒做好,那推廣方就應該對這個APP的安全進行把關。

是否涉嫌超范圍收集個人信息?

記者從超星學習通相關條款中瞭解到,超星學習通提供服務時,可能會收集、儲存和使用用戶的手機號碼、個人姓名、登錄賬號、位置權限、基於攝像頭(相機)的附加功能、基於圖片上傳的附加功能、基於語音技術的附加功能、查看WLAN狀態、讀取SD卡、監聽手機通話狀態、懸浮窗權限、藍牙權限、GET TASKS權限、設備信息、軟件信息等。

這是否涉嫌超范圍收集個人信息?“用戶在註冊時需要提供哪些個人信息,平臺已經履行瞭告知義務並經過用戶同意。”趙占領說,這種情況下,平臺是否過度收集個人信息關鍵要看“是否違反瞭必要性原則”。而評估平臺收集個人信息是否具有必要性,需要結合具體的產品來分析,也就是“用戶不提供最基本的信息,平臺就無法向其提供相應的服務”,比如導航軟件要收集用戶地理位置信息,購物軟件要收集用戶姓名、收集號碼等信息。


相關推薦

2022-12-21

12月20日消息,蔚來發佈一則《關於數據安全事件的聲明》表示,2022年12月11日,蔚來公司收到外部郵件,聲稱擁有蔚來內部數據,並以泄露數據勒索225萬美元等額比特幣。蔚來方面表示,在收到勒索郵件後公司當天即成立專項小

2023-11-26

相關進展,將會隨時同步。11月24日晚間,孫宇晨在社交媒體回應稱,火幣交易平臺即將開放充值和提現業務,對於此次受到被盜事件影響的用戶深表歉意,並承諾將承擔損失。北京時間25日凌晨,HTX交易平臺公告顯示,已恢復部

2024-09-15

SSD存在一個安全漏洞,屬於緩沖溢出型,可能會導致敏感數據泄露。所謂緩沖溢出,就是一種軟件錯誤,通常發生於程序向內存緩沖寫入的數據超出其物理空間,程序就會強制覆蓋臨近的內存緩沖空間,使用新的數據擦除和覆蓋

2024-03-09

卡級算力平臺的人,全世界不足十人。”截至發稿前,鈦媒體App註意到,奇績創壇方面已經將這條推文刪除。陸奇和奇績創壇方面均對此沒有任何回應。公開信息顯示,今年38歲的Linwei Ding,畢業於大連理工大學,以及美國南加

2023-07-03

1萬條、1000條和500條推文。推特在之前宣佈,用戶在社交媒體平臺上擁有賬戶才能查看推文,馬斯克6月30日稱此舉為臨時緊急措施”。他還表示,推特的數據被竊取如此之多,以至於降低普通用戶的服務質量,數百個甚至更多的

2022-08-29

心策劃的網絡釣魚攻擊,導致兩傢公司員工的賬戶憑據被泄露。其中Twilio的兩步驗證(2FA)系統被攻破,導致攻擊者能夠訪問其內部系統。現在,安全研究人員已找到這輪大規模網絡釣魚攻擊的幕後黑手,可知130個組織近10000個

2024-02-07

獲得的加密解決方案之一,它允許用戶安全地加密和保護數據免受威脅。然而,BitLocker似乎並不像人們想象的那樣安全。本周早些時候,YouTuber的用戶stacksmashing發佈一段視頻,展示他如何攔截BitLocker數據並竊取加密密鑰,從而解

2022-06-27

對象。在平臺運營者層面,盡管隨著《網絡安全法》、《數據安全法》等法律法規的出臺,網絡安全保護力度大大增強,但由於歷史原因,很多平臺依然存在著安全盲區或缺陷,容易遭到黑灰產團夥的利用,導致用戶賬戶失竊。

2022-08-23

表態這必須是打呀,必須要打官司。國傢知識產權局統計數據顯示,截止2022年6月,格力電器累計申請國內專利100030件,專利授權量57683件,其中發明專利申請量為49963件,PCT專利申請量為2310件。此前董明珠曾在2020年表示,格力

2022-09-09

、錯誤的聯系:非6360開頭等。中國科學技術大學公佈的數據顯示,2022年1月至8月,該校郵件服務器有921個賬號被黑客竊取密碼發送垃圾郵件,平均每天近4個賬號被竊取密碼。

2024-03-18

層,攻擊的效果也並沒有減弱。這說明即使考慮現代深度學習模型中常見的復雜結構,攻擊方法也依然有效。為進一步驗證攻擊的范圍,Google還將目光瞄向更大、更復雜的LLaMA模型。它是由Meta發佈的大語言系列模型,完整的名字

2024-03-20

辯護人周二晚些時候沒有回應置評請求。法庭文件僅指出被竊取機密的公司是"一傢總部位於美國的電池驅動電動汽車和電池能源系統領先制造商"。法庭文件中的這一描述和其他細節與特斯拉相吻合。Pflugbeil和邵都是 Hibar

2022-08-24

能是安裝有竊聽竊照定位功能的“間諜”設備。近日,有媒體報道稱,市面上流傳有不少被改裝過的“間諜”充電寶,隻需改裝內置一塊通信SIM卡,充電寶就能搖身一變成為“竊聽器”“定位器”,隨時隨地實現遠程監聽和精準

2022-12-21

,引起網友關註熱議。圖片中顯示,有非法組織盜取蔚來數據,數據包括部分蔚來內部員工信息和車主用戶信息。非法組織向蔚來勒索錢財未果,於是便要非法出售這些信息。今日,蔚來官方發佈數據安全事件的聲明,聲明中稱