科技创新板日报,2006年6月22日-个人数据安全问题再次受到广泛关注。6月21日,微信微信官方账号,一个名为M78的安全团队发布消息称,高校超明星学习软件薛彤的数据库信息被黑客通过非法渠道出售。出售的数据包括姓名、手机号、性别、学校、学号、邮箱等信息,数量疑似达到1.7273亿条。
今天,科技创新板日报采访了北京一家网络安全公司的创始人邱,独家披露了这一事件。他告诉记者,因为长期监测灰黑产关键词,在一次日常监测中,他发现一个境外黑产渠道在兜售相关数据库。由于泄露的数据包括学习通行证使用的特定通信地址,因此判断泄露自学通行证的概率非常高。
或者数据被多次倒卖。
邱告诉《科技创新板日报》记者,6月18日就有不明身份的人在海外黑产频道发布叫卖信息,但泄露的时间应该远在此之前。
“当时,数据库的价格只有1300 USDT,相当于1万元人民币。从价格上看,应该已经转手N次了,不然不会这么便宜。”
公开资料显示,“超星学习通”由北京世纪超星信息技术发展有限公司开发运营,是国内高校中普及率较高的一款APP。其功能包括在线上课打卡和考试监考。
科技创新板日报记者从中国政府采购网查询发现,今年以来,该公司已中标的教育信息化项目包括复旦大学管理学院、北方民族大学、上海师范大学、上海立信会计金融学院、乐山师范大学等。
根据超星集团2021年发布的宣传片,超星集团包括数字图书馆、学术检索平台、阅读器、在线教学平台、学习APP、智慧课堂、智慧校园等产品和方案,其中超星学习拥有超过6400万注册师生。
超级明星组合宣传片截图
很多大学生说要学习课程,签到,下载资料等。通过学习,并在疫情期间使用APP进行考试。“考试前后需要用相机抓拍,随机截屏。”有同学指出。
“我所有平台的账号密码都差不多,让我觉得有点慌。”一位大学生说。
邱告诉《科技创新板日报》记者,他建议学生尽快修改密码,防止撞库,但个人信息泄露目前没有很好的解决办法。
“设置密码时,建议带上特殊符号,可以大大降低被破解的风险。”
“学习通”一度存在信息安全漏洞。
薛彤6月21日回应称,公司已收到反馈信息,并立即组织技术调查。到目前为止,还没有发现用户信息泄露的明确证据。鉴于此事的重要性,薛彤已向公安机关报案,公安机关已介入调查。M78安全团队也在微信官方账号中表示。"由于事件正在调查中,为避免引起公众过度关注,该文章已于昨日下午被删除。"
薛彤还表示,该应用程序不会存储用户的明文密码,而是使用单向加密存储。理论上,用户的密码不会被泄露。在这种技术手段下,即使是公司内部的员工也无法明文获取密码。确认公司网上传言密码泄露不实。
对此,邱认为,“单向加密是指单向不可逆,即只能用来加密数据,不能从结果中推导出原始数据。但是不可逆不代表不能破解。如果加密的数据并不复杂,比如字母和数字的简单组合,也可以通过暴力破解。”
值得注意的是,科技创新板日报在国家信息安全漏洞共享平台上发现,2020年至2021年超星学习存在XSS漏洞、信息泄露漏洞和逻辑缺陷。
其中,信息泄露漏洞为“超星学习App存在信息泄露漏洞,可被攻击者利用获取敏感信息”。逻辑缺陷漏洞是“超星学习的应用系统平台存在逻辑缺陷,攻击者可以利用该缺陷导致任何用户账号登录并泄露用户信息。”
根据平台的宣传,2020年信息泄露漏洞公布后,薛彤至今未提供修复方案。
至于数据泄露的原因,邱认为被黑客攻击的可能性很大,当然也不排除有内鬼的可能。
另一名自称是薛彤校园平台前业务线的员工在社交平台上表示,曾多次就用户隐私和业务数据安全、身份权限机制设计、API接口管理、产品安全合规资质认证等问题向京汉提出整改建议,但未得到回应。
律师:平台未尽到个人信息保护义务应承担责任。
据Skycheck App显示,所属的北京世纪巨星信息技术发展有限公司法定代表人付,注册资本3000万人民币,鹊巢和分别持股60%和40%。公司涉及5000多项自身风险,在天眼查的风险等级中属于高风险。
北京市律师事务所熊律师认为,敏感数据量大的公司,按照规定,有具体安全等级保护措施的要求,也有泄露后响应速度和方式的要求。
“如果是平台做的,那么就不存在公法上的责任,需要按照与用户的约定承担民事责任。如果做不到,可能要承担相应的行政甚至刑事责任。”
叶辉律师事务所的施宇航律师表示,对于平台来说,首要的是防止个人信息的泄露。如果平台收集的个人信息被泄露,可能需要承担未履行法律规定的个人信息保护义务的法律责任,包括警告、责令改正、最高年营业额5%或5000万元罚款等。平台主管和直接负责人也可能承担个人责任。
邱向记者强调,企业不能把网络安全当成空。“等到黑客入侵窗口的时候,再去弥补就来不及了。”
美联社财经特约评论员徐文山认为,不管最终结果如何,这件事对学习的影响是事实。企业现在需要做的是尽快找出数据异常的原因,以及其数据库信息是否可能被泄露。如果自己的技术实力无法验证问题的根源,就要寻求权威第三方的支持。只有确凿准确的证据才能让用户信服。否则只是一句“理论上不会泄露”也很难让外界信服。
免责声明:本平台仅供信息发布交流之途,请谨慎判断信息真伪。如遇虚假诈骗信息,请立即举报
举报