很抱歉,当前没有启用javascript,网站无法正常访问。请开启以便继续访问。独家| “学习通”用户数据疑泄露 报料人:被黑客攻击的可能性很大 也不排除内鬼
独家| “学习通”用户数据疑泄露 报料人:被黑客攻击的可能性很大 也不排除内鬼
2022.06.22 20:10 科创板日报记者 黄心怡

《科创板日报》6月22日讯(记者 黄心怡)个人数据安全问题再受广泛关注。6月21日,名为M78安全团队微信公众号发文称,高校学习软件超星“学习通”的数据库信息正被黑客在非法渠道售卖,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息,数量疑似达到1.7273亿条。

《科创板日报》今日独家采访了该事件披露者,北京某网络安全公司创始人邱同学。他向记者表示,因为长期对灰黑产关键词进行监控,在一次日常监控中,他发现境外某黑产频道正在对相关数据库进行兜售,由于泄露的数据中包括了学习通所使用的特定通信地址,因而判断泄露自学习通的概率非常大

数据或已被多次倒卖

邱同学向《科创板日报》记者表示,不明身份的人员在境外黑产频道6月18日发布了兜售信息,但是泄露时间应远在此之前。

当时数据库的售价仅为1300 USDT(一种虚拟货币),相当于人民币1万元,从售价来看,应该被转手N次了,不然不会这么便宜。”

根据公开资料,“超星学习通”系北京世纪超星信息技术发展有限责任公司开发运营,是国内高校中普及率较高的一款APP,其功能包括网络课打卡、考试监考等。

《科创板日报》记者从中国政府采购网查询发现,今年以来,该公司已中标包括复旦大学管理学院、北方民族大学、上海师范大学、上海立信会计金融学院、乐山师范学院等的教育信息化项目。

据2021年发布的超星集团宣传片,超星集团旗下包括数字图书馆、学术检索平台、阅读器、网络教学平台、学习通APP、智慧教室、智慧校园等产品及方案,其中超星学习通的注册师生超过6400万。

image

超星集团宣传片截图

多名在校大学生表示,会通过学习通进行课程学习、签到、下载资料等,疫情期间用该APP进行考试。“考试前后还需要用摄像头抓拍和随机截屏。”有学生指出。

“我所有平台的账号密码差不多都一样,感觉有点慌。”某高校学生称。

邱同学告诉《科创板日报》记者,建议学生尽快修改密码,以防止撞库(通过已泄露的用户密码尝试批量登陆其他网站),但是对于已经泄露的个人信息,目前没有很好的解决措施。

在设置密码时,建议带上特殊符号,这样能大大降低被破解风险。”

“学习通”曾存在信息安全漏洞

学习通6月21日回应称,公司已收到反馈信息,立即组织技术排查,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,学习通已经向公安机关报案,公安机关已经介入调查。M78安全团队也在其公众号表示。 “介于事件正在调查过程中,为避免引发舆论过度关注,文章在昨天下午已删除。”

学习通还称,App不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。

对此,邱同学认为,“单向加密是指单向不可逆, 即只能用于对数据的加密, 从结果无法反推原始数据。但是不可逆,并不代表不能破解,如果加密后的数据不复杂, 比如只是简单的字母和数字组合,也可以被暴力破解。”

值得注意的是,《科创板日报》在国家信息安全漏洞共享平台上查询到,超星学习通在2020年至2021年间曝出过存在XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。

image

其中,信息泄露漏洞为“超星学习通App存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息”。而逻辑缺陷漏洞为“超星学习通应用系统平台存在逻辑缺陷漏洞,攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。”

根据平台公示,2020年的信息泄露漏洞公布后,学习通尚未提供修复方案。

image

对于数据泄露的原因,邱同学认为,学习通被黑客攻击的可能性非常大,当然也不完全排除内鬼的可能性。

另有自称是前学习通校园平台业务线员工在社交平台表示,曾经多次就用户隐私和业务数据安全、身份权限机制设计、API接口管理、产品安全合规资质认证,向北京和武汉提整改建议,未获得回应。

律师:平台未履行个人信息保护义务应担责

天眼查App显示,学习通所属的北京世纪超星信息技术发展有限责任公司,法定代表人付国明,注册资本3000万人民币,由阙超、史超分别持股60%、40%。公司涉及5000多条自身风险,在天眼查的风险等级中,被列为高风险。

image

北京清律律师事务所熊定中律师认为,像这种掌握大量敏感数据的公司,按规定是有特定的安全等级保护措施要求,以及出现泄露事件后响应速度和方式的要求。

如果平台做到了,那就不存在公法上的责任,需要根据与用户之间的协议约定来承担民事责任。如果没做到,那可能要承担相应的行政甚至刑事责任。”

汇业律师事务所史宇航律师表示,对平台来说,首先是有义务防止个人信息的泄露,如果平台所收集的个人信息泄露,那么可能需要因为未履行法律规定的个人信息保护义务而承担法律责任,包括警告、责令改正、最高年营业额5%或5千万元的罚款等,平台主管人员和直接负责人员可能也需要承担个人责任。

邱同学则向记者强调,企业不能将网络安全视为空谈。“等到黑客入侵东窗事发,再亡羊补牢,已为时已晚。”

财联社特约评论员徐文山认为,不论最终结果如何,此事对学习通造成的冲击已是事实。企业当前要做的,是尽快摸清楚数据出现异常的原因,以及其数据库信息是否有可能泄露。如果自身技术实力无法查实问题的根源,应该寻求权威第三方的支持。只有扎实准确的证据才能让用户信服,否则只是一句“理论上不会泄露”,很难让外界服气。

1.97W+特别声明:文章内容仅供参考,不构成投资建议。投资者据此操作风险自担。