中國消費者報報道(記者武曉莉)近日有微博網(wǎng)友曝料稱,,學習軟件超星學習通的數(shù)據(jù)庫信息疑似被公開售賣,其中疑似泄露的數(shù)據(jù)包含姓名,、手機號,、性別、學校,、學號,、郵箱等信息1.7273億條,含密碼1076萬條,?!皩W習通”話題一度登上微博熱搜第一,截至記者發(fā)稿時閱讀量已超過3億次,。
記者發(fā)現(xiàn),,話題一曝光,這款本來就評分超低(1.4分,,總分5分)的軟件,,一天之內(nèi)評分更低至1.3分,評論區(qū)充滿了學生們憤怒的質(zhì)問,。作為一款在大中學生中普及率超高的學習軟件,此次事件暴露出個人信息保護的諸多短板,,信息安全任重道遠,。
加密后密碼是否就不會泄露
網(wǎng)友在使用網(wǎng)頁或者登錄App時,常常會被問“是否存儲密碼”,一般不常用的人都會點擊不存儲,,以此作為個人安全措施,。
此次事件中,超星學習通方面強調(diào),,網(wǎng)上傳言密碼泄露不實,。因為他們不存儲用戶明文密碼,而是采取單向加密存儲,,在這種技術(shù)手段下,,即使公司內(nèi)部員工(包括程序員)也無法獲得密碼明文,因此“理論上用戶密碼不會泄露”,。
“密碼存儲加密僅僅是對密碼在整個生命周期過程中的存儲環(huán)節(jié)進行安全防護,。”極盾科技CTO 鄭冬東對《中國消費者報》記者說,,無論對用戶還是對平臺,,密碼泄露的渠道非常多?!霸谄渌h(huán)節(jié),,比如密碼采集(即獲取用戶輸入的密碼)、傳輸,、使用等環(huán)節(jié),,如果沒有相應的防護措施,均有可能被泄露,。例如,,如果App被植入了木馬,在密碼采集環(huán)節(jié),,用戶輸入的密碼就會被木馬竊取,。再比如在密碼傳輸環(huán)節(jié),雖然通信渠道進行了加密,,但密碼自身沒有被加密,,進入后端系統(tǒng)之后,通信內(nèi)容有可能會被解密,。在這個環(huán)節(jié),,如果后端系統(tǒng)遭到攻擊、內(nèi)部有人員編寫后門代碼,,甚至普通開發(fā)無意中打印通信內(nèi)容日志等,,密碼就會被泄露出去?!编嵍瑬|說,。
鄭冬東認為,這種問題并不是個例,大家普遍認為對存儲在數(shù)據(jù)庫或者硬盤中的數(shù)據(jù)加密,,就能一勞永逸地保證數(shù)據(jù)的安全,,但其實存儲加密僅僅是數(shù)據(jù)安全防護中的一環(huán)。密碼只是眾多敏感信息中的一種,。即便密碼可以保證不發(fā)生泄露,,也無法保證其他敏感信息,比如學生證,、身份證不被泄露,。所以,敏感信息泄露保護不僅僅是保護密碼不被泄露,。
信息泄漏有內(nèi)外兩種原因
超星學習通是在大學中普及率非常高的一款App,,其功能包括移動教學、移動學習,、移動閱讀等,,常用于網(wǎng)絡課打卡、考試監(jiān)考等,。泄密事件發(fā)生后,,社交媒體和應用商店里該App評價欄中,有大量學生表示近期有自己信息被泄露的征象,。例如,,有外地的手機號頻繁地給自己發(fā)信息、打電話,;接到了境外詐騙電話,,對方能準確地報出自己的身份證號碼,甚至知道自己有支付寶的學生認證等,。
“從過去多起數(shù)據(jù)泄露事件來看,,造成企業(yè)數(shù)據(jù)泄露的原因既可能是外部的也可能是內(nèi)部的?!逼姘残艛?shù)據(jù)安全專家,、數(shù)據(jù)安全子公司副總經(jīng)理姚磊對《中國消費者報》記者說,“攻擊者可能利用目標系統(tǒng)漏洞或者竊取到的特權(quán)賬戶,,獲取了相應數(shù)據(jù)庫管理員的權(quán)限,,從而完成拖庫行為。比如領(lǐng)英數(shù)據(jù)泄露事件,,就被證實為黑客利用其API漏洞所致,。”
姚磊認為,,內(nèi)部原因分兩種:第一種有可能是運維人員的不當操作致使數(shù)據(jù)意外泄露,,第二種則是有內(nèi)鬼作祟,,如果其內(nèi)部權(quán)限管控缺失或者行為審計有紕漏,,內(nèi)部員工(如數(shù)據(jù)庫管理員)可以利用自身系統(tǒng)權(quán)限,,將數(shù)據(jù)庫中的數(shù)據(jù)批量下載下來,然后進行倒賣,。因此,,企業(yè)應當加強數(shù)據(jù)安全防護力度,避免大量使用弱口令,,對于發(fā)現(xiàn)的安全隱患要及時處置,。
奇安信集團副總裁、創(chuàng)新BG負責人孔德亮在接受《中國消費者報》記者采訪時表示,,信息泄露事件頻發(fā),,表明很多企業(yè)、機構(gòu)的數(shù)據(jù)處在“裸奔”狀態(tài),,這是數(shù)據(jù)安全當前的首要問題,,防裸奔、補短板迫在眉睫,,包括對內(nèi)部超越權(quán)限或者高危操作的嚴格控制,。
鄭冬東認為,對企業(yè)而言,,數(shù)據(jù)安全的建設是體系化的,,要圍繞數(shù)據(jù)全生命周期過程,從組織架構(gòu),、流程制度,、技術(shù)工具、人員意識等多維度進行建設,。對個人而言,,可以使用并定期更換高復雜度的密碼、不安裝未知來源的App,、及時升級系統(tǒng),、安裝殺毒軟件等手段進行防范。
平臺承擔何種責任
“平臺承擔責任的前提,,首先是落實數(shù)據(jù)泄露渠道,。”中國電子技術(shù)標準化研究院信息安全研究中心審查部總監(jiān),、3•15信息安全實驗室專家何延哲對《中國消費者報》記者說,,“泄露流轉(zhuǎn)的數(shù)據(jù)挺多,不好判斷是如何造成的泄漏,,或者泄露的主體是誰,。比如在此事例中,,手機號、姓名,、身份證號是通用數(shù)據(jù),,很多平臺都收集。因此,,在落實法律責任之前,,一定要確認平臺是否為信息泄露方。但本次事例中有個特殊性,,即學號,,這就有很大可能是學習通泄露的?!?/p>
何延哲表示,,超星學習通方面聲稱已經(jīng)報警,如果警方有證據(jù)證明是學習通泄密,,那超星學習通就違反了個人信息保護法律法規(guī),,如果企業(yè)的安全措施沒做到位導致個人信息遭受侵犯,此前又沒有告知用戶采取修改密碼等措施降低風險等,,依法就應受到處罰,。
記者研究超星學習通的用戶協(xié)議發(fā)現(xiàn),“其他免責聲明”中表示,,對于因不可抗力或平臺方不能預料,、不能控制的原因(包括但不限于計算機病毒或黑客攻擊、系統(tǒng)不穩(wěn)定,、用戶不當使用賬戶,,以及其他任何技術(shù)、互聯(lián)網(wǎng)絡,、通信線路原因)產(chǎn)生的包括但不限于用戶計算機信息和數(shù)據(jù)的安全問題,,用戶個人信息的安全問題等給用戶或任何第三方造成的損失,平臺方不承擔任何責任,。
“這項條款是否有效,,要看平臺是否盡到技術(shù)安全保障的義務?!北本┰萍温蓭熓聞账蓭熩w占領(lǐng)對《中國消費者報》記者說,,“如果是因為學習通系統(tǒng)本身就存在漏洞導致黑客入侵,免責條款就是無效的,,學習通仍然要承擔相應的法律責任,,賠償用戶的損失?!?/p>
網(wǎng)友質(zhì)疑為何不下架
記者看到,,超星學習通App目前在iOS應用商店的評分已經(jīng)低至1.3,。由于系統(tǒng)默認“對您有用的評價”排序為星級從高到低,也就是說如果評分過低,,評價內(nèi)容可能排到幾十上百頁之后,,很難被看到。因此,,為了讓自己的負面評價排到前面被后來的用戶看到,,不少用戶選擇了給5星評分,,而評價內(nèi)容全部是負面的,。
從用戶吐槽的內(nèi)容看,超星學習通不僅此次泄露了用戶信息,,而且存在超范圍收集個人隱私信息,、強制在學習中使用等情況,因此,,被用戶詬病不是一天兩天了,。
“考試的時候都會截屏、要打開攝像頭,,很過分,。”浙江海洋學院的王子新對記者說,,她不明白,,長期評分這么低的軟件為何不被下架?這么明目張膽侵犯學生隱私的App為什么必須要用呢,?
“一般來說,,不會因為評分低而下架?!焙窝诱苷f,,“因為評分是一個主觀意愿,也存在惡意打低分的情況,。而下架處理相當于商品不能出售,,類似于一個行政處罰措施。但是超星學習通這個評分已經(jīng)足夠可以提醒用戶這個軟件不太好,,所以在下載使用時就需要更加警惕,。”
對于用戶反映的超星學習通評分如此低為何還必須使用,,何延哲認為,,如果這個App是在某一些場景下被某個部門強推的,要求學生在教學,、考試中必須下載該App,,而這款App得分又比較低,,其安全措施又沒做好,那推廣方就應該對這個App的安全進行把關(guān),。
記者從超星學習通相關(guān)條款中了解到,,超星學習通提供服務時,可能會收集,、儲存和使用用戶的手機號碼,、個人姓名、登錄賬號,、位置權(quán)限,、基于攝像頭(相機)的附加功能、基于圖片上傳的附加功能,、基于語音技術(shù)的附加功能,、查看WLAN狀態(tài)、讀取SD卡,、監(jiān)聽手機通話狀態(tài),、懸浮窗權(quán)限、藍牙權(quán)限,、GET TASKS權(quán)限,、設備信息、軟件信息等,。
這是否涉嫌超范圍收集個人信息,?“用戶在注冊時需要提供哪些個人信息,平臺已經(jīng)履行了告知義務并經(jīng)過用戶同意,?!壁w占領(lǐng)說,這種情況下,,平臺是否過度收集個人信息關(guān)鍵要看“是否違反了必要性原則”,。而評估平臺收集個人信息是否具有必要性,需要結(jié)合具體的產(chǎn)品來分析,,也就是“用戶不提供最基本的信息,,平臺就無法向其提供相應的服務”,比如導航軟件要收集用戶地理位置信息,,購物軟件要收集用戶姓名,、收集號碼等信息。
官方微信公眾號
官方微博
