1.7億條信息遭公開售賣？學(xué)習(xí)通：已報案

來源：數(shù)據(jù)觀綜合自中國青年報、@學(xué)習(xí)通、觀察者網(wǎng)、紅星新聞 時間：2022-06-22 14:17:52 作者：蒲蒲

　　6月21日，話題#學(xué)習(xí)通數(shù)據(jù)庫疑發(fā)生信息泄露#沖上微博熱搜。相關(guān)爆料信息顯示，大學(xué)生學(xué)習(xí)軟件“超星學(xué)習(xí)通”疑似出現(xiàn)數(shù)據(jù)庫泄露，被公開售賣的數(shù)據(jù)里包括姓名、性別、手機號、學(xué)校、學(xué)號等。

　　消息一經(jīng)爆出，立馬引得網(wǎng)友廣泛關(guān)注和討論。

　　有網(wǎng)友質(zhì)疑，這就是所有學(xué)校推薦的軟件嗎？為什么要這么多個人信息。

　　也有網(wǎng)友表示，最近騷擾電話也更多了。

　　披露者已將文章刪除

　　據(jù) M78 安全團隊公眾號發(fā)文稱，大學(xué)生學(xué)習(xí)軟件超星學(xué)習(xí)通的數(shù)據(jù)庫信息正在被黑客在非法渠道售賣，兜售的數(shù)據(jù)包含姓名、手機號、性別、學(xué)校、學(xué)號、郵箱等信息1億7273萬條，引發(fā)網(wǎng)友熱議。

　　目前該公眾號已經(jīng)將該文章刪除，并且發(fā)布了一條消息稱，關(guān)于某星學(xué)習(xí)通數(shù)據(jù)庫疑發(fā)生信息泄露相關(guān)信息由我司相關(guān)安全研究員首發(fā)披露，介于事件正在調(diào)查過程中，為避免引發(fā)輿論過度關(guān)注，文章在昨天下午已刪除。相關(guān)問題暫時不予回復(fù)，相關(guān)部門已介入調(diào)查。

　　學(xué)習(xí)通回應(yīng)：未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)

　　21日下午，學(xué)習(xí)通在官博公開回應(yīng)稱，公司于20號晚收到“疑似學(xué)習(xí)通APP用戶數(shù)據(jù)泄露”的反饋信息，立即組織技術(shù)排查，已持續(xù)十余個小時，暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)。鑒于事情重大，公司已經(jīng)向公安機關(guān)報案，公安機關(guān)已經(jīng)介入調(diào)查。

　　學(xué)習(xí)通方面還強調(diào)，網(wǎng)上傳言密碼泄露不實。因為其不存儲用戶明文密碼，采取單向加密存儲，在這種技術(shù)手段下即使公司內(nèi)部員工（包括程序員）也無法獲得密碼明文，“理論上用戶密碼不會泄露”。

　　盡管學(xué)習(xí)通方面并未確認(rèn)發(fā)現(xiàn)了用戶數(shù)據(jù)泄露，截至目前，已有多位學(xué)習(xí)通用戶在網(wǎng)上曬出登錄后的學(xué)習(xí)通頁面，有的顯示使用次數(shù)高達十幾萬次。還有網(wǎng)友稱，自己近日收到不少騷擾電話，懷疑與學(xué)習(xí)通數(shù)據(jù)泄露有關(guān)。

　　對此，學(xué)習(xí)通方面解釋稱，學(xué)習(xí)通使用量不是“使用學(xué)習(xí)通的次數(shù)”，而是用戶使用學(xué)習(xí)通時向服務(wù)器發(fā)出的頁面請求次數(shù)，用戶正常學(xué)習(xí)的話每天會有幾百到上千使用量。因此，有幾十萬使用量“是正常現(xiàn)象，而不是賬號泄露的表現(xiàn)”。

　　涉事公司曾被工信部通報

　　天眼查顯示，學(xué)習(xí)通關(guān)聯(lián)企業(yè)北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司成立于2000年1月，注冊資本3000萬人民幣，經(jīng)營范圍含技術(shù)開發(fā)、技術(shù)推廣、技術(shù)咨詢、技術(shù)服務(wù)；計算機技術(shù)培訓(xùn)；零售電子出版物等。

　　風(fēng)險信息顯示，該公司關(guān)聯(lián)數(shù)千條法律訴訟，多數(shù)為侵害作品信息網(wǎng)絡(luò)傳播權(quán)糾紛、著作權(quán)權(quán)屬、侵權(quán)糾紛，涉及公司包括知網(wǎng)、北京大學(xué)出版社、中國社會科學(xué)出版社以及版權(quán)代理公司、傳媒公司等。

　　超星學(xué)習(xí)通是在大學(xué)中普及率非常高的一款 App，其功能包括網(wǎng)絡(luò)課打卡、考試監(jiān)考等。iOS 版本的學(xué)習(xí)通目前共獲得了12萬個評分，其平均評分僅為 1.4（滿分5分）。有多位給出一星評價的用戶提到，超星學(xué)習(xí)通涉嫌過度收集隱私信息，為實現(xiàn)考試監(jiān)考功能，用戶“必須開麥克風(fēng)、必須開攝像頭、必須實名制”。

　　據(jù)了解，用戶在注冊學(xué)習(xí)通前需要閱讀《隱私條款》和《用戶協(xié)議》。其中，《隱私政策》提及，學(xué)習(xí)通提供服務(wù)時，可能會收集、儲存和使用用戶的手機號碼、個人姓名、登錄賬號、位置權(quán)限、基于攝像頭（相機）的附加功能、基于圖片上傳的附加功能、基于語音技術(shù)的附加功能、查看WLAN狀態(tài)、讀取SD卡、監(jiān)聽手機通話狀態(tài)、懸浮窗權(quán)限、藍牙權(quán)限、GETTASKS權(quán)限、設(shè)備信息、軟件信息等。

　　另外，學(xué)習(xí)通的《用戶協(xié)議》中提及到“其他免責(zé)聲明”內(nèi)容，表示對于因不可抗力或平臺方不能預(yù)料、不能控制的原因（包括但不限于計算機病毒或黑客攻擊、系統(tǒng)不穩(wěn)定、用戶不當(dāng)使用賬戶、以及其他任何技術(shù)、互聯(lián)網(wǎng)絡(luò)、通信線路原因）產(chǎn)生的包括但不限于用戶計算機信息和數(shù)據(jù)的安全問題，用戶個人信息的安全問題等給用戶或任何第三方造成的損失，平臺方不承擔(dān)任何責(zé)任。

　　查詢國家信息安全漏洞共享平臺發(fā)現(xiàn)，2020年3月學(xué)習(xí)通App曾被發(fā)現(xiàn)存在XSS漏洞（跨站腳本攻擊，指可利用網(wǎng)站漏洞從用戶惡意盜取信息）；同年11月又被發(fā)現(xiàn)存在信息泄露漏洞，危害級別為“中”。2021年9月和11月，學(xué)習(xí)通更新了兩個補丁。

　　此外，去年1月22日，中華人民共和國工業(yè)和信息化部曾通報的一批關(guān)于侵害用戶權(quán)益行為APP中，由北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司開發(fā)的“學(xué)習(xí)通”也被指出涉及違規(guī)收集個人信息。

　　近年來，教育類APP侵犯用戶信息安全的案例屢見不鮮。

　　自2019年12月起，工信部開始披露《關(guān)于侵害用戶權(quán)益行為的APP通報》。其首次披露的41款A(yù)PP存在違規(guī)收集、使用用戶個人信息、不合理索取用戶權(quán)限、為用戶賬號注銷設(shè)置障礙等問題。

　　此后，自2020年5月起，工信部每個月都會披露一批違規(guī)APP名單，而幾乎每一期的名單中都會涉及到部分違規(guī)的教育APP。

　　而最近的一次通報是在2022年6月1日，其中違規(guī)APP涉及84款，包括教育類APP 9 款。違規(guī)收集或使用個人信息、欺騙誤導(dǎo)強迫用戶、強制頻繁過度索取權(quán)限成為教育類APP違規(guī)中最為高發(fā)的問題。

圖注：工業(yè)和信息化部通報存在問題的 APP 名單

（2022 年第 4 批，總第 24 批）

　　截至目前，被工信部點名通報的教育類 APP 已達上百種，其中不乏知名企業(yè)推出的產(chǎn)品。

　　多部門出手規(guī)范教育類APP

　　近兩年，國家相繼出臺了一系列教育數(shù)據(jù)安全保護的政策法規(guī)，為教育行業(yè)數(shù)據(jù)安全治理提供了重要的指導(dǎo)和參考。

　　2021年4月，教育部等七部門發(fā)布《關(guān)于加強教育系統(tǒng)數(shù)據(jù)安全工作的通知》，提出建立教育系統(tǒng)數(shù)據(jù)安全責(zé)任體系和數(shù)據(jù)分類分級制度，形成教育系統(tǒng)數(shù)據(jù)資源目錄；健全覆蓋數(shù)據(jù)收集、傳輸存儲、使用處理、開放共享等全生命周期的數(shù)據(jù)安全保障制度，開展常態(tài)化的數(shù)據(jù)安全監(jiān)測預(yù)警通報。

　　2021年9月，教育部等六部門發(fā)布《關(guān)于做好現(xiàn)有線上學(xué)科類培訓(xùn)機構(gòu)由備案改為審批工作的通知》（下稱《通知》），要求強化教育App網(wǎng)絡(luò)與數(shù)據(jù)安全監(jiān)管，為個人隱私和信息安全筑起保護屏障。對于教育移動互聯(lián)網(wǎng)應(yīng)用程序（教育APP）的管理，《通知》要求教育移動應(yīng)用提供者應(yīng)當(dāng)建立覆蓋個人信息收集、儲存、傳輸、使用等環(huán)節(jié)的數(shù)據(jù)保障機制，儲存100萬人以上個人信息的線上校外培訓(xùn)APP，應(yīng)通過個人信息保護影響評估、認(rèn)證或合規(guī)審計。

　　同時，教育部、中央網(wǎng)信辦等八部門還聯(lián)合發(fā)布《關(guān)于引導(dǎo)規(guī)范教育移動互聯(lián)網(wǎng)應(yīng)用有序健康發(fā)展的意見》，對規(guī)范數(shù)據(jù)管理方面提出明確要求。其中指出，教育移動應(yīng)用提供者應(yīng)當(dāng)建立覆蓋個人信息收集、儲存、傳輸、使用等環(huán)節(jié)的數(shù)據(jù)保障機制；按照「后臺實名、前臺自愿」的原則，對注冊用戶進行身份信息認(rèn)證；收集使用個人信息應(yīng)當(dāng)明示收集使用信息的目的、方式和范圍，并經(jīng)用戶同意；收集使用未成年人信息應(yīng)當(dāng)取得監(jiān)護人同意、授權(quán)；不得以默認(rèn)、捆綁、停止安裝使用等手段變相強迫用戶授權(quán)，不得收集與其提供服務(wù)無關(guān)的個人信息，不得違反法律法規(guī)與用戶約定，不得泄露、非法出售或非法向他人提供個人信息。

　　教育App提供者應(yīng)根據(jù)教育部相關(guān)通知、國家網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法等法律法規(guī)要求，定期進行自糾自查，嚴(yán)格落實教育網(wǎng)絡(luò)與數(shù)據(jù)安全的要求，為用戶信息安全做好保駕護航工作。作為個人用戶來說，對自身數(shù)據(jù)安全的防護主要還是在提升防范意識方面。例如，不輕易打開不明鏈接；在正規(guī)的應(yīng)用商店下載軟件；非使用必要不提供軟件授權(quán)；軟件使用完畢后及時關(guān)閉軟件，謹(jǐn)防數(shù)據(jù)被從后臺獲取。

責(zé)任編輯：藺弦弦