独家｜“学习通”用户数据疑泄露报料人：被黑客攻击的可能性很大也不排除内鬼

科技创新板日报，2006年6月22日-个人数据安全问题再次受到广泛关注。6月21日，微信微信官方账号，一个名为M78的安全团队发布消息称，高校超明星学习软件薛彤的数据库信息被黑客通过非法渠道出售。出售的数据包括姓名、手机号、性别、学校、学号、邮箱等信息，数量疑似达到1.7273亿条。

今天，科技创新板日报采访了北京一家网络安全公司的创始人邱，独家披露了这一事件。他告诉记者，因为长期监测灰黑产关键词，在一次日常监测中，他发现一个境外黑产渠道在兜售相关数据库。由于泄露的数据包括学习通行证使用的特定通信地址，因此判断泄露自学通行证的概率非常高。

或者数据被多次倒卖。

邱告诉《科技创新板日报》记者，6月18日就有不明身份的人在海外黑产频道发布叫卖信息，但泄露的时间应该远在此之前。

“当时，数据库的价格只有1300 USDT，相当于1万元人民币。从价格上看，应该已经转手N次了，不然不会这么便宜。”

公开资料显示，“超星学习通”由北京世纪超星信息技术发展有限公司开发运营，是国内高校中普及率较高的一款APP。其功能包括在线上课打卡和考试监考。

科技创新板日报记者从中国政府采购网查询发现，今年以来，该公司已中标的教育信息化项目包括复旦大学管理学院、北方民族大学、上海师范大学、上海立信会计金融学院、乐山师范大学等。

根据超星集团2021年发布的宣传片，超星集团包括数字图书馆、学术检索平台、阅读器、在线教学平台、学习APP、智慧课堂、智慧校园等产品和方案，其中超星学习拥有超过6400万注册师生。

超级明星组合宣传片截图

很多大学生说要学习课程，签到，下载资料等。通过学习，并在疫情期间使用APP进行考试。“考试前后需要用相机抓拍，随机截屏。”有同学指出。

“我所有平台的账号密码都差不多，让我觉得有点慌。”一位大学生说。

邱告诉《科技创新板日报》记者，他建议学生尽快修改密码，防止撞库，但个人信息泄露目前没有很好的解决办法。

“设置密码时，建议带上特殊符号，可以大大降低被破解的风险。”

“学习通”一度存在信息安全漏洞。

薛彤6月21日回应称，公司已收到反馈信息，并立即组织技术调查。到目前为止，还没有发现用户信息泄露的明确证据。鉴于此事的重要性，薛彤已向公安机关报案，公安机关已介入调查。M78安全团队也在微信官方账号中表示。"由于事件正在调查中，为避免引起公众过度关注，该文章已于昨日下午被删除。"

薛彤还表示，该应用程序不会存储用户的明文密码，而是使用单向加密存储。理论上，用户的密码不会被泄露。在这种技术手段下，即使是公司内部的员工也无法明文获取密码。确认公司网上传言密码泄露不实。

对此，邱认为，“单向加密是指单向不可逆，即只能用来加密数据，不能从结果中推导出原始数据。但是不可逆不代表不能破解。如果加密的数据并不复杂，比如字母和数字的简单组合，也可以通过暴力破解。”

值得注意的是，科技创新板日报在国家信息安全漏洞共享平台上发现，2020年至2021年超星学习存在XSS漏洞、信息泄露漏洞和逻辑缺陷。

其中，信息泄露漏洞为“超星学习App存在信息泄露漏洞，可被攻击者利用获取敏感信息”。逻辑缺陷漏洞是“超星学习的应用系统平台存在逻辑缺陷，攻击者可以利用该缺陷导致任何用户账号登录并泄露用户信息。”

根据平台的宣传，2020年信息泄露漏洞公布后，薛彤至今未提供修复方案。

至于数据泄露的原因，邱认为被黑客攻击的可能性很大，当然也不排除有内鬼的可能。

另一名自称是薛彤校园平台前业务线的员工在社交平台上表示，曾多次就用户隐私和业务数据安全、身份权限机制设计、API接口管理、产品安全合规资质认证等问题向京汉提出整改建议，但未得到回应。

律师:平台未尽到个人信息保护义务应承担责任。

据Skycheck App显示，所属的北京世纪巨星信息技术发展有限公司法定代表人付，注册资本3000万人民币，鹊巢和分别持股60%和40%。公司涉及5000多项自身风险，在天眼查的风险等级中属于高风险。

北京市律师事务所熊律师认为，敏感数据量大的公司，按照规定，有具体安全等级保护措施的要求，也有泄露后响应速度和方式的要求。

“如果是平台做的，那么就不存在公法上的责任，需要按照与用户的约定承担民事责任。如果做不到，可能要承担相应的行政甚至刑事责任。”

叶辉律师事务所的施宇航律师表示，对于平台来说，首要的是防止个人信息的泄露。如果平台收集的个人信息被泄露，可能需要承担未履行法律规定的个人信息保护义务的法律责任，包括警告、责令改正、最高年营业额5%或5000万元罚款等。平台主管和直接负责人也可能承担个人责任。

邱向记者强调，企业不能把网络安全当成空。“等到黑客入侵窗口的时候，再去弥补就来不及了。”

美联社财经特约评论员徐文山认为，不管最终结果如何，这件事对学习的影响是事实。企业现在需要做的是尽快找出数据异常的原因，以及其数据库信息是否可能被泄露。如果自己的技术实力无法验证问题的根源，就要寻求权威第三方的支持。只有确凿准确的证据才能让用户信服。否则只是一句“理论上不会泄露”也很难让外界信服。