媒体六问“学习通数据疑泄露”:如何被窃取?平台要担何责?

时间:2022-07-01 17:00:39

  来源:中国消费者报

       近日有微博网友曝料称,学习软件超星学习通的数据库信息疑似被公开售卖,其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1.7273亿条,含密码1076万条。

▲截至记者发稿时,“学习通”话题在微博阅读量已超过3亿次。

  数据是如何被窃取的?超星学习通该担何责?消费者应该如何保护个人数据隐私?记者就此采访了相关专家。

  信息是如何被泄露的?

  据了解,超星学习通是在大学中普及率非常高的一款APP。泄密事件发生后,社交媒体和应用商店里该APP评价栏中,有大量学生表示近期有自己信息被泄露的征象。 

  “从过去多起数据泄露事件来看,造成企业数据泄露的原因既可能是外部的也可能是内部的。”奇安信数据安全专家、数据安全子公司副总经理姚磊对记者说,“攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。”

  姚磊认为,内部原因分两种:第一种有可能是运维人员的不当操作致使数据意外泄露,第二种则是有内鬼作祟。

  奇安信集团副总裁、创新BG负责人孔德亮在接受记者采访时表示,信息泄露事件频发,表明很多企业、机构的数据处在“裸奔”状态,这是数据安全当前的首要问题,防裸奔、补短板迫在眉睫,包括对内部超越权限或者高危操作的严格控制。

  密码加密是否就不会泄露?

  此次事件中,超星学习通方面强调,网上传言密码泄露不实。因为他们不存储用户明文密码,而是采取单向加密存储,在这种技术手段下,即使公司内部员工(包括程序员)也无法获得密码明文,因此“理论上用户密码不会泄露”。

  “密码存储加密仅仅是对密码在整个生命周期过程中的存储环节进行安全防护。”极盾科技CTO 郑冬东对记者说,无论对用户还是对平台,密码泄露的渠道非常多。在其他环节,比如密码采集(即获取用户输入的密码)、传输、使用等环节,如果没有相应的防护措施,均有可能被泄露。

  即便密码可以保证不发生泄露,也无法保证其他敏感信息,比如学生证、身份证不被泄露。所以,敏感信息泄露保护不仅仅是保护密码不被泄露。

  郑冬东认为,对个人而言,可以使用并定期更换高复杂度的密码、不安装未知来源的APP、及时升级系统、安装杀毒软件等手段进行防范。

  超星学习通要担何责?

  中国电子技术标准化研究院信息安全研究中心审查部总监、3·15信息安全实验室专家何延哲对记者说:“平台承担责任的前提,首先是落实数据泄露渠道”。

  何延哲表示,超星学习通方面声称已经报警,如果警方有证据证明是学习通泄密,那超星学习通就违反了个人信息保护法律法规,如果企业的安全措施没做到位导致个人信息遭受侵犯,此前又没有告知用户采取修改密码等措施降低风险等,依法就应受到处罚。

  记者研究超星学习通的用户协议发现,“其他免责声明”中表示,对于因不可抗力或平台方不能预料、不能控制的原因(包括但不限于计算机病毒或黑客攻击、系统不稳定、用户不当使用账户,以及其他任何技术、互联网络、通信线路原因)产生的包括但不限于用户计算机信息和数据的安全问题,用户个人信息的安全问题等给用户或任何第三方造成的损失,平台方不承担任何责任。

  “这项条款是否有效,要看平台是否尽到技术安全保障的义务。”北京云嘉律师事务所律师赵占领对记者说,“如果是因为学习通系统本身就存在漏洞导致黑客入侵,免责条款就是无效的,学习通仍然要承担相应的法律责任,赔偿用户的损失。”

  为何不下架?

  在iOS应用商店,不少用户在评论区吐槽、质问。“考试的时候都会截屏、要打开摄像头,很过分。”浙江海洋学院的王子新对记者说,她不明白,长期评分这么低的软件为何不被下架?这么明目张胆侵犯学生隐私的APP为什么必须要用呢?

▲话题曝光后,在iOS应用商店,这款本来就评分超低(1.4分,总分5分)的软件,一天之内评分更低至1.3分。

  “一般来说,不会因为评分低而下架。”何延哲说,“因为评分是一个主观意愿,也存在恶意打低分的情况。而下架处理相当于商品不能出售,类似于一个行政处罚措施。但是超星学习通这个评分已经足够可以提醒用户这个软件不太好,所以在下载使用时就需要更加警惕。”

  对于用户反映的超星学习通评分如此低为何还必须使用,何延哲认为,如果这个APP是在某一些场景下被某个部门强推的,要求学生在教学、考试中必须下载该APP,而这款APP得分又比较低,其安全措施又没做好,那推广方就应该对这个APP的安全进行把关。

  是否涉嫌超范围收集个人信息?

  记者从超星学习通相关条款中了解到,超星学习通提供服务时,可能会收集、储存和使用用户的手机号码、个人姓名、登录账号、位置权限、基于摄像头(相机)的附加功能、基于图片上传的附加功能、基于语音技术的附加功能、查看WLAN状态、读取SD卡、监听手机通话状态、悬浮窗权限、蓝牙权限、GET TASKS权限、设备信息、软件信息等。

  这是否涉嫌超范围收集个人信息?“用户在注册时需要提供哪些个人信息,平台已经履行了告知义务并经过用户同意。”赵占领说,这种情况下,平台是否过度收集个人信息关键要看“是否违反了必要性原则”。而评估平台收集个人信息是否具有必要性,需要结合具体的产品来分析,也就是“用户不提供最基本的信息,平台就无法向其提供相应的服务”,比如导航软件要收集用户地理位置信息,购物软件要收集用户姓名、收集号码等信息。