本报记者 贺俊 见习记者 靳卫星
6月21日下午,“学习通泄露1.7亿数据且被公开售卖”一事引发热议。这是一款日均活跃人数最高1718.95万人,最低224.14万人的APP,用户较多。学习通官方发表紧急声明表示,未发现明显的用户信息泄露证据,已经向公安机关报案,公安机关已经介入调查。学习通还强调,网上传言密码泄露不实,因为其不存储用户明文密码,而是采取单向加密存储,“理论上用户密码不会泄露”。
但首发披露该事件的M78安全团队创始人邱先生6月22日向《证券日报》记者表示,学习通的处理态度缺乏公信力,有避重就轻的嫌疑,“密码不是重点,个人信息才是关键,只要系统有漏洞,黑客不需要密码也能获取个人信息。”
学习通陷入信息泄露疑云
6月20日,“M78安全团队”发文称学习通数据库数据泄露且被公开兜售。文章内容显示,学习通的数据库正在被黑客以非法渠道兜售,涵盖学校/组织名、姓名、手机号、学号/工号、性别、邮箱和密码等,共计1亿7273万条。邱先生向《证券日报》提供的截图显示,黑客发布售卖信息公开要价预付金12000元,并声称可代付。
(受访者供图)
针对是如何发现学习通存在信息泄露的问题,邱先生向记者表示:“我们长期对灰黑产关键词进行监控,发现某黑产频道正在对相关数据库进行兜售。随即进行验证,发现多人的学习通信息都已出现在境外频道社工库机器人中(一种人肉搜索的机器人),我个人的信息也在内。”
(受访者供图)
公开资料显示,“学习通”是北京世纪超星信息技术发展有限责任公司(以下简称“世纪超星”)旗下的一款教育软件,功能包括线上课程打卡、考试监考等。在高校中普及率非常高,但获得的评分却很低。安卓应用商店中,学习通App显示已有超过5亿次安装,获得1.7万人评分,平均评分仅1.1分(满分5分),iOS系统目前获得了12万人评分,平均评分1.4分。据悉,该公司已有300条中标信息,服务对象包括河南科技学院、云南中医药大学、浙江金融职业学院、上海财经大学浙江学院、山东旅游职业学院等。
(学习通截屏)
天眼查显示,世纪超星成立于2000年,注册资本3000万元,法定代表人为付国明。风险登记高,关联风险总量达到5848条,涉及法律诉讼2473条,集中在侵害作品信息网络传播权纠纷、著作权权属、侵权纠纷等。
6月21日下午,学习通官方微博发布声明称,暂未发现明确的用户信息泄露证据,鉴于事情重大,公司已向公安机关报案,公安机关已经介入调查。
对于学习通方面的官方回复,邱先生向记者表示:“密码不是重点,个人信息才是关键。”北京汉华飞天信安科技有限公司总经理彭根也认为,保管密码和数据泄露之间没有必然联系,“只要系统存在漏洞,黑客就有可能模仿用户登录过程,不需要密码也能窃取数据库的信息。”
学习通是否需担责?
截至目前,网上已有多位学习通用户晒出登录后的学习通页面,有的显示使用次数高达十几万次。“我听到消息后很担心,随即注销了学习通。”华南师范大学的一位学生向《证券日报》记者表示,之前有下载登陆过学习通,此后陆续接到一些骚扰电话,不知是否与此有关。
赛博英杰CEO谭晓生向《证券日报》记者表示:“去年国家发布的《数据安全法》和《个人信息保护法》规定,经营主体对用户信息造成泄露要承担一定的法律责任。但责任处罚的轻重,要看企业在信息防护方面有没有做相关的工作。针对此次事件,要看该公司对安全制度的履行是否到位,此前有没有按照制度和流程去做日常的安全审核以及采用标准的防护手段。”
“坦率来讲,此次事件是若干被入侵事件之一,很多企业也深受其害。”谭晓生向记者表示,若要避免此类事件的发生,企业在架构、设计和编码的阶段就要考虑到网络安全问题,每个环节都不能疏忽。其次在系统运行的过程中也要做好安全监测,随时监控系统有没有被攻击。一旦被攻击或信息泄露,企业要迅速做出响应,比如报案、告知用户等。”
(编辑 上官梦露)
京公网安备 11010202007567号京ICP备17054264号
