“为向您提供服务,我们会收集您在注册账户时,向我们提供的个人信息;”、“未经您的同意,我们不会从第三方获取、共享或向其提供您的任何信息”……这是新用户在注册超星学习通时平台给出的“隐私政策”,新用户勾选同意后方能进行下一步。
但就在近日,超星学习通数据疑似泄露一事持续发酵。6月21日,名为M78安全团队微信公众号发文称,高校学习软件超星“学习通”的数据库信息正被黑客在非法渠道售卖,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息,数量疑似达到1.7273亿条。随后,“学习通”话题一度登上微博热搜第一。
当日下午,超星学习通官微就此事回应表示,尚未发现明确的用户信息泄露证据,已经向公安机关报案,公安机关已介入调查。
但自6月21日以来,除不断有高校学生在社交平台晒出自己的超星学习通登录界面,使用次数在几万次到几百万次不等,怀疑自己的个人信息已遭到泄漏外,还有多名学生表示,个人账号登录IP地址在境内境外不断切换,有同学在线上考试中出现本人账号异地登录的情况,“差点试都考不了”。
与此同时,有媒体跟踪后续报道表示,随着超星学习通事件发酵,越来越多黑灰产买家和卖家参与其中,有卖家称“已购入数据,入库后免费开放查询”,有买家在花费500美元购买到超星学习通数据后发现被骗。
“请大家不要购买此类数据,数据交易属于严重的违法行为。”6月23日,此次事件爆料人、北京某安全公司创始人邱同学对时间财经表示。
据邱同学描述,其是通过监控灰黑产关键词发现的此次事件,“因为长期对灰黑产关键词进行监控,在一次日常监控中,我发现境外某黑产频道正在对相关数据库进行兜售,泄露的数据中包括了学习通所使用的特定通信地址,也监控到了相关关键词。”
对于超星学习通数据疑似泄露的主要原因,在邱同学看来,“主要是平台乃至整个教育行业对信息安全整体不加以重视导致的。”
随着整件事情持续发展,邱同学也对时间财经坦言,自己也是一名在读大学生,从事信息安全、网络安全7年有余,把这件事披露出来是希望能唤起整个行业对网络安全的重视,“起码关键的数据不能裸奔。”
遭用户质疑使用次数与实际不符
公开资料显示,“超星学习通”系北京世纪超星信息技术发展有限责任公司(下称“北京世纪超星”)开发运营,是国内高校中普及率较高的一款APP,其功能包括网络课打卡、考试监考等。
6月23日,时间财经查阅中国政府采购网也发现,近半年以来,北京世纪超星公司已中标包括复旦大学管理学院、北方民族大学、上海师范大学、乐山师范学院等学校的教育信息化项目。
6月23日,时间财经下载学习通APP也看到,其在安卓软件系统下载次数达5亿,评分只有1.1分。在超7000条评论中,不少最新评论的用户指出自己数万次使用与歇息泄露有关:“9万次使用,连续的骚扰电话”、“为什么我一年打开学习通不超20次,你给我的使用次数是一万多次。”
对此,超星学习通在发布的《关于学习通使用量数据的说明》(下称《说明》)中称,使用量不是“使用学习通的次数”,而是用户使用学习通时向服务器发出的页面请求次数,类似于互联网请求的pv值(pageview),“学习者有几十万学习通使用量是正常现象,不是账号泄露的表现。”
在连续的否认中,网友似乎并不买账。在前述《说明》微博下,评论区多位用户仍发出质疑表示,“这个解释可能说服不了我。”
图源:“学习通”官微截图
6月23日,时间财经多次致电北京世纪超星公司,截至发稿,电话未能接通。
对此,重庆盟昇律师事务所主任罗开诚律师告诉时间财经,首先“学习通”作为平台运营方,其数据信息泄露情况一旦属实,应承担相应的民事责任、行政责任;如系人为故意售卖,相关责任人则涉嫌构成相应的刑事责任。
此外,罗开诚律师也对时间财经表示,根据《中华人民共和国个人信息保护法》的相关规定,若网上爆料“学习通”数据信息泄露情况属实且被售卖,则涉嫌侵犯公民个人信息权,“从用户来说,可以要求平台停止侵权、消除影响、赔礼道歉、赔偿损失,损失的赔偿标准按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”
一年被披露3次漏洞
值得一提的是,时间财经查阅发现,国家信息安全漏洞共享平台曾在2020年至2021年的一年间,3次披露超星学习通存在的安全漏洞问题,分别包括被XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。
具体来看,2020年5月披露的超星学习通App存在的XSS漏洞, “攻击者可以利用漏洞获取管理员cookie信息”;半年后的11月,超星学习通App再被披露存在信息泄露漏洞,“攻击者可利用该漏洞获取敏感信息”;而在2021年6月,超星学习通因“应用系统平台存在逻辑缺陷漏洞。攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。”再被国家信息安全漏洞共享平台披露。
图源:国家信息安全漏洞共享平台
而根据平台公示,自2020年信息泄露漏洞公布后,超星学习通尚未提供修复方案。
在前述被质疑超1.7亿学生数据被泄露后,超星学习通曾回应表示,其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,“公司确认网上传言密码泄露是不实的”。
“在算力足够的情况下,可以破解部分较复杂的密码。”邱同学对时间财经表示。此外,他也提到,如果密码使用的是md5等算法,是可以通过彩虹表等暴力破解手段来破解非复杂密码的。
时间财经在使用过程中也看到,超星学习通APP进行个人注册需提供手机号码,单位用户则需在此基础上提供个人姓名、登录账号以便单位管理统计。当用户使用超星学习通中的打卡签到、图片上传、超星课堂等功能时,可能会需要开启位置信息、摄像头、相册、麦克风等访问权限。
针对此,罗开诚律师也强调表示,对于目前用户在下载app时常被索要各种权限,而这些权限往往会超出应用范围,而用户不同意就无法使用的情况,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第二条规定,这种非必要性的强制授权行为涉嫌侵犯了消费者的自主选择权,一旦被举报,其侵权行为被查实,平台将会承担相应的法律责任。
而超星学习通是否具有妥善保护用户信息的能力,在收集索取信息方面是否越界,是有理由打一个问号的。2021年1月,超星学习通两次被工信部点名通报其违规收集用户信息。同年7月,由于检查未完成整改,该APP再度被工信部通报。
相关现象并非个例,但也造成了用户网络安全更大的隐患。目前,打击泄露公民个人信息的“内鬼”,我国在法律层面有较为充分的依据。近日,最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》要求,深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作,积极配合“清朗”系列专项行动,探索积累常态化监督办案的典型经验。
而在2021年11月1日《中华人民共和国个人信息保护法》实施之际,靖江法院曾发布五起侵犯公民个人信息典型案例,其中就包括一起教育机构将超6万名学生信息泄露,最终,该教育机构职员吴某因经构成侵犯公民个人信息罪,最终被靖江法院判处刑罚。(时间财经 吴珊)