近日有微博网友曝料称,学习软件超星学习通的数据库信息疑似被公开售卖,其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1.7273亿条,含密码1076万条。“学习通”话题一度登上微博热搜第一,截至记者发稿时阅读量已超过3亿次。
记者发现,话题一曝光,这款本来就评分超低(1.4分,总分5分)的软件,一天之内评分更低至1.3分,评论区充满了学生们愤怒的质问。作为一款在大中学生中普及率超高的学习软件,此次事件暴露出个人信息保护的诸多短板,信息安全任重道远。
加密后密码是否就不会泄露
网友在使用网页或者登录App时,常常会被问“是否存储密码”,一般不常用的人都会点击不存储,以此作为个人安全措施。
此次事件中,超星学习通方面强调,网上传言密码泄露不实。因为他们不存储用户明文密码,而是采取单向加密存储,在这种技术手段下,即使公司内部员工(包括程序员)也无法获得密码明文,因此“理论上用户密码不会泄露”。
“密码存储加密仅仅是对密码在整个生命周期过程中的存储环节进行安全防护。”极盾科技CTO 郑冬东对《中国消费者报》记者说,无论对用户还是对平台,密码泄露的渠道非常多。“在其他环节,比如密码采集(即获取用户输入的密码)、传输、使用等环节,如果没有相应的防护措施,均有可能被泄露。例如,如果App被植入了木马,在密码采集环节,用户输入的密码就会被木马窃取。再比如在密码传输环节,虽然通信渠道进行了加密,但密码自身没有被加密,进入后端系统之后,通信内容有可能会被解密。在这个环节,如果后端系统遭到攻击、内部有人员编写后门代码,甚至普通开发无意中打印通信内容日志等,密码就会被泄露出去。”郑冬东说。
郑冬东认为,这种问题并不是个例,大家普遍认为对存储在数据库或者硬盘中的数据加密,就能一劳永逸地保证数据的安全,但其实存储加密仅仅是数据安全防护中的一环。密码只是众多敏感信息中的一种。即便密码可以保证不发生泄露,也无法保证其他敏感信息,比如学生证、身份证不被泄露。所以,敏感信息泄露保护不仅仅是保护密码不被泄露。
信息泄漏有内外两种原因
超星学习通是在大学中普及率非常高的一款App,其功能包括移动教学、移动学习、移动阅读等,常用于网络课打卡、考试监考等。泄密事件发生后,社交媒体和应用商店里该App评价栏中,有大量学生表示近期有自己信息被泄露的征象。例如,有外地的手机号频繁地给自己发信息、打电话;接到了境外诈骗电话,对方能准确地报出自己的身份证号码,甚至知道自己有支付宝的学生认证等。
“从过去多起数据泄露事件来看,造成企业数据泄露的原因既可能是外部的也可能是内部的。”奇安信数据安全专家、数据安全子公司副总经理姚磊对《中国消费者报》记者说,“攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。比如领英数据泄露事件,就被证实为黑客利用其API漏洞所致。”
姚磊认为,内部原因分两种:第一种有可能是运维人员的不当操作致使数据意外泄露,第二种则是有内鬼作祟,如果其内部权限管控缺失或者行为审计有纰漏,内部员工(如数据库管理员)可以利用自身系统权限,将数据库中的数据批量下载下来,然后进行倒卖。因此,企业应当加强数据安全防护力度,避免大量使用弱口令,对于发现的安全隐患要及时处置。
奇安信集团副总裁、创新BG负责人孔德亮在接受《中国消费者报》记者采访时表示,信息泄露事件频发,表明很多企业、机构的数据处在“裸奔”状态,这是数据安全当前的首要问题,防裸奔、补短板迫在眉睫,包括对内部超越权限或者高危操作的严格控制。
郑冬东认为,对企业而言,数据安全的建设是体系化的,要围绕数据全生命周期过程,从组织架构、流程制度、技术工具、人员意识等多维度进行建设。对个人而言,可以使用并定期更换高复杂度的密码、不安装未知来源的App、及时升级系统、安装杀毒软件等手段进行防范。
平台承担何种责任
“平台承担责任的前提,首先是落实数据泄露渠道。”中国电子技术标准化研究院信息安全研究中心审查部总监、3•15信息安全实验室专家何延哲对《中国消费者报》记者说,“泄露流转的数据挺多,不好判断是如何造成的泄漏,或者泄露的主体是谁。比如在此事例中,手机号、姓名、身份证号是通用数据,很多平台都收集。因此,在落实法律责任之前,一定要确认平台是否为信息泄露方。但本次事例中有个特殊性,即学号,这就有很大可能是学习通泄露的。”
何延哲表示,超星学习通方面声称已经报警,如果警方有证据证明是学习通泄密,那超星学习通就违反了个人信息保护法律法规,如果企业的安全措施没做到位导致个人信息遭受侵犯,此前又没有告知用户采取修改密码等措施降低风险等,依法就应受到处罚。
记者研究超星学习通的用户协议发现,“其他免责声明”中表示,对于因不可抗力或平台方不能预料、不能控制的原因(包括但不限于计算机病毒或黑客攻击、系统不稳定、用户不当使用账户,以及其他任何技术、互联网络、通信线路原因)产生的包括但不限于用户计算机信息和数据的安全问题,用户个人信息的安全问题等给用户或任何第三方造成的损失,平台方不承担任何责任。
“这项条款是否有效,要看平台是否尽到技术安全保障的义务。”北京云嘉律师事务所律师赵占领对《中国消费者报》记者说,“如果是因为学习通系统本身就存在漏洞导致黑客入侵,免责条款就是无效的,学习通仍然要承担相应的法律责任,赔偿用户的损失。”
网友质疑为何不下架
记者看到,超星学习通App目前在iOS应用商店的评分已经低至1.3。由于系统默认“对您有用的评价”排序为星级从高到低,也就是说如果评分过低,评价内容可能排到几十上百页之后,很难被看到。因此,为了让自己的负面评价排到前面被后来的用户看到,不少用户选择了给5星评分,而评价内容全部是负面的。
从用户吐槽的内容看,超星学习通不仅此次泄露了用户信息,而且存在超范围收集个人隐私信息、强制在学习中使用等情况,因此,被用户诟病不是一天两天了。
“考试的时候都会截屏、要打开摄像头,很过分。”浙江海洋学院的王子新对记者说,她不明白,长期评分这么低的软件为何不被下架?这么明目张胆侵犯学生隐私的App为什么必须要用呢?
“一般来说,不会因为评分低而下架。”何延哲说,“因为评分是一个主观意愿,也存在恶意打低分的情况。而下架处理相当于商品不能出售,类似于一个行政处罚措施。但是超星学习通这个评分已经足够可以提醒用户这个软件不太好,所以在下载使用时就需要更加警惕。”
对于用户反映的超星学习通评分如此低为何还必须使用,何延哲认为,如果这个App是在某一些场景下被某个部门强推的,要求学生在教学、考试中必须下载该App,而这款App得分又比较低,其安全措施又没做好,那推广方就应该对这个App的安全进行把关。
记者从超星学习通相关条款中了解到,超星学习通提供服务时,可能会收集、储存和使用用户的手机号码、个人姓名、登录账号、位置权限、基于摄像头(相机)的附加功能、基于图片上传的附加功能、基于语音技术的附加功能、查看WLAN状态、读取SD卡、监听手机通话状态、悬浮窗权限、蓝牙权限、GET TASKS权限、设备信息、软件信息等。
这是否涉嫌超范围收集个人信息?“用户在注册时需要提供哪些个人信息,平台已经履行了告知义务并经过用户同意。”赵占领说,这种情况下,平台是否过度收集个人信息关键要看“是否违反了必要性原则”。而评估平台收集个人信息是否具有必要性,需要结合具体的产品来分析,也就是“用户不提供最基本的信息,平台就无法向其提供相应的服务”,比如导航软件要收集用户地理位置信息,购物软件要收集用户姓名、收集号码等信息。