近日,大学生学习软件超星学习通的用户信息遭到泄漏被公开售卖,其中泄漏的相关信息高达1亿7273条,对此超星学习通的相关负责人回应,到目前为止还未发现明确的用户信息泄露证据,鉴于事情重大,已经向公安机关报案,公安机关已经介入调查。专家表示,造成数据泄露的原因可能是内部的也可能是外部的,目前尚不清楚。而涉及个人隐私数据泄露的企业方,还有可能需要承担法律责任。
学习通App查看次数大幅增加,大学生随后接到疑似诈骗电话
日前,不少大学生纷纷反映自己的“超星学习通”学习账号疑似被别人使用,账户查看次数大幅增加。此外,不少学生反映,近期接到的诈骗电话可以准确地报出自己的姓名,身份证号以及支付宝的相关信息。
超星学习通是面向智能手机、平板电脑等移动终端的移动学习专业平台,目前全国多所大学的学生都有试用。用户可以在超星学习通上自助完成图书馆藏书借阅查询、电子资源搜索下载、图书馆资讯浏览,学习学校课程,进行小组讨论,查看本校通讯录等,该App同时拥有电子图书,报纸文章以及中外文献元数据,为用户提供方便快捷的移动学习服务。
北青报记者了解到,进入学习通“我”的页面,点击名字旁边的小标志就可以查看使用次数,被泄露信息的账号可以发现自己的使用数据发生了变化,使用数据次数从一万至二十几万不等,更有的同学接到了未知属地的短信和电话。
一名大二的学生李某告诉记者,自己是在微博看见热搜后,打开自己的学习通账户才发现自己的学习通账户也发现了类似情况。平时打开次数不多的App,自己账户的使用量却显示为25598次。当天下午,他还接到了未知属地的电话,对方能说出自己的个人信息,因为自己已经收到相关风险提示,所以才没有上当受骗。但是对于自己信息被泄漏一事,他表示自己有点害怕,担心自己的信息被他人利用,“以后可能不太敢再使用超星学习通了”。
据网传信息统计,此次泄漏的数据包括学校、姓名、学号、手机号和邮箱等相关信息1亿7273万条。
针对信息数据泄漏一事,学习通官方回应称:“我公司昨晚收到‘疑似学习通APP用户数据泄露’的反馈信息,立即组织技术排查,目前排查工作已经进行了十余个小时,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,我们已经向公安机关报案,公安机关已经介入调查。学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。用户信息安全是重大问题,我公司高度重视,将协助公安机关继续深入调查,全力保障用户信息和数据安全。”
教育网也发布重要通知,提示用户尽快修改为新密码,严防撞库对自己产生更大的危害,谨防诈骗。
为超百个大学提供服务,曾因提供虚假材料被罚
根据企查查显示,北京超星公司是中国规模最大的数字图书馆解决方案提供商和图书资源供应商,注册资本3000万元,法人代表为付国明,旗下app被国内众多高校应用,公司成立于2000年。值得注意的是,该公司自身关联风险上千条,案件多为因侵害作品信息网络传播纠纷案由被起诉。
招投标信息显示,该公司曾中标2000多家大学、图书馆、政府机构等项目。其中今年以来该公司已有300条中标信息,服务对象包括河南科技学院、云南中医药大学、浙江金融职业学院、上海财经大学浙江学院、山东旅游职业学院等。
目前公司实际控股人为阙超,其关联企业22家,多为各地的超星信息技术有限公司,贵州、成都、北京等。2021年,兰州超星教育有限公司在参加“兰州石化职业技术学院精品在线开放课程建设项目”中因提供虚假材料被处罚。
泄漏原因涉及广泛,企业更应注意相关管理
针对此次信息数据泄漏事件,北青报记者采访了奇安信数据安全专家、数据安全子公司副总经理姚磊,“从过去多起数据泄露事件来看,通常造成企业数据泄露的原因既可能是外部的也可能是内部的,当然也可能是二者皆有。”姚磊分析称,攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。此类事件此前也时有发生,比如去年同期领英数据泄露事件,被证实为黑客利用其API漏洞所致。因此,企业应当加强数据安全防护力度,避免大量使用弱口令,对于发现的安全隐患要及时处置。
内部原因也要分为两种情况。第一种有可能是运维人员的不当操作致使数据意外泄露;第二种则是有内鬼作祟,如果其内部权限管控缺失或者行为审计有纰漏,内部员工(如数据库管理员)可以利用自身系统权限,将数据库中的数据批量下载下来,然后进行倒卖。从这个角度来看,企业应采用技术手段,加强自身内部员工的权限管理和行为审计,对于某些超越权限或者高危操作应严格控制。
对于泄漏个人信息数据是否违反相关法律法规,北青报记者采访了垦丁律师事务所创始合伙人麻策,麻策表示根据《数据安全法》规定,开展数据处理活动的组织没有采取相应的技术措施和其他必要措施,保障数据安全,造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。当数据涉及个人信息且情节严重的,还可以依据《个人信息保护法》由省级以上履行个人信息保护职责的部门处五千万元以下或者上一年度营业额百分之五以下罚款。
文/实习记者 王思琦
文/北京青年报记者 温婧
编辑/田野