宏观 华财讯 证券 产经 消费 科技 房产 酒业 银行 保险 投资

​1.7亿条学生信息遭泄露?学习通报警!曾一年被披露三次漏洞

2022年06月23日 22:07 来源:时间财经
分享: 微信

“为向您提供服务,我们会收集您在注册账户时,向我们提供的个人信息;”、“未经您的同意,我们不会从第三方获取、共享或向其提供您的任何信息”……这是新用户在注册超星学习通时平台给出的“隐私政策”,新用户勾选同意后方能进行下一步。

但就在近日,超星学习通数据疑似泄露一事持续发酵。6月21日,名为M78安全团队微信公众号发文称,高校学习软件超星“学习通”的数据库信息正被黑客在非法渠道售卖,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息,数量疑似达到1.7273亿条。随后,“学习通”话题一度登上微博热搜第一。

当日下午,超星学习通官微就此事回应表示,尚未发现明确的用户信息泄露证据,已经向公安机关报案,公安机关已介入调查。

但自6月21日以来,除不断有高校学生在社交平台晒出自己的超星学习通登录界面,使用次数在几万次到几百万次不等,怀疑自己的个人信息已遭到泄漏外,还有多名学生表示,个人账号登录IP地址在境内境外不断切换,有同学在线上考试中出现本人账号异地登录的情况,“差点试都考不了”。

与此同时,有媒体跟踪后续报道表示,随着超星学习通事件发酵,越来越多黑灰产买家和卖家参与其中,有卖家称“已购入数据,入库后免费开放查询”,有买家在花费500美元购买到超星学习通数据后发现被骗。

“请大家不要购买此类数据,数据交易属于严重的违法行为。”6月23日,此次事件爆料人、北京某安全公司创始人邱同学对时间财经表示。

据邱同学描述,其是通过监控灰黑产关键词发现的此次事件,“因为长期对灰黑产关键词进行监控,在一次日常监控中,我发现境外某黑产频道正在对相关数据库进行兜售,泄露的数据中包括了学习通所使用的特定通信地址,也监控到了相关关键词。”

对于超星学习通数据疑似泄露的主要原因,在邱同学看来,“主要是平台乃至整个教育行业对信息安全整体不加以重视导致的。”

随着整件事情持续发展,邱同学也对时间财经坦言,自己也是一名在读大学生,从事信息安全、网络安全7年有余,把这件事披露出来是希望能唤起整个行业对网络安全的重视,“起码关键的数据不能裸奔。”

遭用户质疑使用次数与实际不符

公开资料显示,“超星学习通”系北京世纪超星信息技术发展有限责任公司(下称“北京世纪超星”)开发运营,是国内高校中普及率较高的一款APP,其功能包括网络课打卡、考试监考等。

6月23日,时间财经查阅中国政府采购网也发现,近半年以来,北京世纪超星公司已中标包括复旦大学管理学院、北方民族大学、上海师范大学、乐山师范学院等学校的教育信息化项目。

6月23日,时间财经下载学习通APP也看到,其在安卓软件系统下载次数达5亿,评分只有1.1分。在超7000条评论中,不少最新评论的用户指出自己数万次使用与歇息泄露有关:“9万次使用,连续的骚扰电话”、“为什么我一年打开学习通不超20次,你给我的使用次数是一万多次。”

对此,超星学习通在发布的《关于学习通使用量数据的说明》(下称《说明》)中称,使用量不是“使用学习通的次数”,而是用户使用学习通时向服务器发出的页面请求次数,类似于互联网请求的pv值(pageview),“学习者有几十万学习通使用量是正常现象,不是账号泄露的表现。”

在连续的否认中,网友似乎并不买账。在前述《说明》微博下,评论区多位用户仍发出质疑表示,“这个解释可能说服不了我。”

图源:“学习通”官微截图

6月23日,时间财经多次致电北京世纪超星公司,截至发稿,电话未能接通。

对此,重庆盟昇律师事务所主任罗开诚律师告诉时间财经,首先“学习通”作为平台运营方,其数据信息泄露情况一旦属实,应承担相应的民事责任、行政责任;如系人为故意售卖,相关责任人则涉嫌构成相应的刑事责任。

此外,罗开诚律师也对时间财经表示,根据《中华人民共和国个人信息保护法》的相关规定,若网上爆料“学习通”数据信息泄露情况属实且被售卖,则涉嫌侵犯公民个人信息权,“从用户来说,可以要求平台停止侵权、消除影响、赔礼道歉、赔偿损失,损失的赔偿标准按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”

一年被披露3次漏洞

值得一提的是,时间财经查阅发现,国家信息安全漏洞共享平台曾在2020年至2021年的一年间,3次披露超星学习通存在的安全漏洞问题,分别包括XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。

具体来看,2020年5月披露的超星学习通App存在的XSS漏洞, “攻击者可以利用漏洞获取管理员cookie信息”;半年后的11月,超星学习通App再被披露存在信息泄露漏洞,“攻击者可利用该漏洞获取敏感信息”;而在2021年6月,超星学习通因“应用系统平台存在逻辑缺陷漏洞。攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。”再被国家信息安全漏洞共享平台披露。

图源:国家信息安全漏洞共享平台

而根据平台公示,自2020年信息泄露漏洞公布后,超星学习通尚未提供修复方案。

在前述被质疑超1.7亿学生数据被泄露后,超星学习通曾回应表示,其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,“公司确认网上传言密码泄露是不实的”。

“在算力足够的情况下,可以破解部分较复杂的密码。”邱同学对时间财经表示。此外,他也提到,如果密码使用的是md5等算法,是可以通过彩虹表等暴力破解手段来破解非复杂密码的。

时间财经在使用过程中也看到,超星学习通APP进行个人注册需提供手机号码,单位用户则需在此基础上提供个人姓名、登录账号以便单位管理统计。当用户使用超星学习通中的打卡签到、图片上传、超星课堂等功能时,可能会需要开启位置信息、摄像头、相册、麦克风等访问权限。

针对此,罗开诚律师也强调表示,对于目前用户在下载app时常被索要各种权限,而这些权限往往会超出应用范围,而用户不同意就无法使用的情况,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条规定,这种非必要性的强制授权行为涉嫌侵犯了消费者的自主选择权,一旦被举报,其侵权行为被查实,平台将会承担相应的法律责任。

而超星学习通是否具有妥善保护用户信息的能力,在收集索取信息方面是否越界,是有理由打一个问号的。2021年1月,超星学习通两次被工信部点名通报其违规收集用户信息。同年7月,由于检查未完成整改,该APP再度被工信部通报。

相关现象并非个例,但也造成了用户网络安全更大的隐患。目前,打击泄露公民个人信息的“内鬼”,我国在法律层面有较为充分的依据。近日,最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》要求,深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作,积极配合“清朗”系列专项行动,探索积累常态化监督办案的典型经验。

而在2021年11月1日《中华人民共和国个人信息保护法》实施之际,靖江法院曾发布五起侵犯公民个人信息典型案例,其中就包括一起教育机构将超6万名学生信息泄露,最终,该教育机构职员吴某因经构成侵犯公民个人信息罪,最终被靖江法院判处刑罚。

(责任编辑:CF017)

推荐阅读 相关文章

陈春花独家回应“华为声明”:我和华为都是受害者

华为发布辟谣声明后,关于北大教授陈春花和华为、任正非的讨论仍在继续。...

来源:时代周报

欧洲又少个帮手?俄法院一纸裁决 戳中哈萨克斯坦石油出口命门

俄罗斯一家地方法院周三(7月6日)下令,为防止可能造成的“环境损害”,将暂停里海管道联盟(CPC)输油管线业务30天。...

来源:财联社

捍卫能源独立!法国拟将电力巨头EDF完全国有化 为减排保驾护航

法国政府周三表示,计划将电力巨头法国电力(EDF SA)完全国有化,并称在欧洲出现能源危机之际,这一举措对于实现能源转型是必要的。...

来源:财联社

全球饥荒加剧!去年近10%人口忍饥挨饿 联合国警告灾难迫在眉睫

联合国最新报告警告称,全球消除饥饿的行动正在“开倒车”。...

来源:财联社

美团入股的东呈酒店冲刺IPO:疫情下业绩波多风险高

宁波美兴的股东之一正是美团CEO王兴,他同时持有北京酷讯互动95%的股权,为北京酷讯互动的实际控制人。...

来源:蓝鲸财经

乘联会:初步统计6月国内乘用车零售192.6万辆

初步统计6月1日-30日,全国乘用车市场零售192.6万辆,同比增长22%...

来源:新京报

周杰伦新专辑上线 迟交的作业掀起“回忆杀”

时隔多年,预热一个月后,周杰伦带着他的第十五张个人专辑《最伟大的作品》回归。...

来源:北京商报

谁在浑水摸鱼?华为正式声明与陈春花教授无任何关系

沸沸扬扬的陈春花与华为事件终于迎来了双方的回应。7月6日,华为发布辟谣声明“华为与陈春花教授无任何关系”。...

来源:北京商报

美油气协会回击拜登推文:白宫实习生该去上经济基础课了

上周日(7月3日),美国总统拜登周末发推喊话,要求在美加油站营运商降价。...

来源:财联社

国际油价再度开启暴跌模式:布油也宣告失守100美元关口

北京时间周三晚间,受经济衰退和能源需求下降相关担忧影响,国际油价再度开启暴跌模式,继昨日美国WTI原油跌破100美元/桶价格之后,国际基准布...

来源:财联社

价格上限定了?美国和盟友考虑将俄油价格限制在每桶40至60美元

据媒体援引消息人士报道,美国及其盟国讨论了将俄罗斯石油价格限制在每桶40至60美元左右。...

来源:财联社

数字货运迎上市潮 路歌物流赴港IPO 结算业务为核心竞争力

物流行业因需求的不同,衍生出许多细分赛道,并催生了如京东物流、满帮集团、快狗打车等一批上市企业,而诸如福佑卡车、G7物流等数字货运平台也正在...

来源:财联社

维天运通更新港股招股书 数字货运龙头能否撑起7轮融资

维天运通已获得蚂蚁集团、中信证券、国投创益、北汽产投、国元金控等多家知名机构投资。...

来源:财联社

蔚来换电又有大动作 宁王、吉利也加码 产业链最先受益环节是?

随着新能源汽车销量快速增长、充电缺口持续扩大,换电模式的补能效率、电池安全等优势凸显,国内利好政策不断,助力换电基建持续推进。...

来源:财联社

新湖期货预披露IPO招股书 新湖系有望再添一家上市公司

7月5日,“新湖系”旗下金融公司——新湖期货预披露IPO招股书。...

来源:新京报

美庐生物撤回上市申请,曾提出做“羊奶粉第二品牌”

欲打造成“中国羊奶粉第二品牌”的美庐生物股份有限公司日前撤回上市申请,创业板上市审核随之终止。...

来源:新京报

vivo在印度遭突击搜查!年初刚宣布投资30亿

众多中国科技企业曾在印被查。...

来源:时代周报

内衣多元化趋势下,传统玩家都市丽人的“变”与“守”之路能否顺利?

作为内衣行业的线下渠道王者,都市丽人总代基础扎实、线下体量庞大,拥有着毛细血管般的门店布局,不过,也正因如此,让其在线上的探索备受关注。...

来源:蓝鲸财经

扬翔股份上会前“撤退”,实控人再次背负上市对赌压力

有分析认为,目前猪肉价格仍处于谷底区间,未来预期存在不确定性,扬翔股份或是考虑到过会希望不大而撤销申报材料。...

来源:新京报

碳排放管理员培训是割韭菜?从业仅有10万人,“考证没什么用”

忙碌,似乎是这一行的共性。...

来源:时代财经

防晒“黑科技”出圈,如何撬动新消费?

夏日防晒,防晒霜、太阳帽、太阳镜、防晒衣、冰袖,一个都不能少。...

来源:新京报

电子烟许可证陆续审批发放,行业洗牌继续:有人坚守、有人退场

7月4日,据国家烟草专卖局网站消息,国家烟草专卖局近日研究制定了《关于督导指导服务电子烟相关生产企业工作方案》,其中就包括统筹电子烟行政许可...

来源:新京报

日本高调“搞事”遭到俄罗斯猛烈报复:断油、断气警告

当地时间周二(7月5日),据俄罗斯卫星通讯社报道,俄罗斯联邦安全会议副主席梅德韦杰夫对日本首相岸田文雄有关俄罗斯石油价格上限的言论作出了回应...

来源:财联社

岸田所言变现 日本政府批准2亿美元全球粮食援助计划

周二(5日)日本政府已正式决定批准约2亿美元的粮食援助计划,以帮助解决由于俄乌战争造成的全球粮食危机。...

来源:财联社

斯里兰卡危机无解?政府计划暂停印钞 预计通胀率达到60%

盛产蓝宝石的斯里兰卡,常被世人形容为“印度洋上的珍珠”,而如今人们正发现,这颗“珍珠”似乎是由“眼泪”变成的。...

来源:财联社

联系方式

中华网新媒体 财经频道
互动/投稿邮箱:
finance@zhixun.china.com
网上不良信息举报电话:010-56177181
财经频道联系电话:(010)56176102