学习通被曝:APP疑似超1.7亿条用户数据泄露的前因后果
信安客 2022-06-22
随着《数据安全法》、《个人信息保护法》等落地,包含大量个人信息的教育类APP的信息安全问题备受关注,2月份,工信部就侵害用户权益行为的APP,包括云端课堂、百词斩、考试通、中公教育等多款教育类APP都曾因违规收集或使用个人信息、强制、频繁、过度索取权限等原因被工信部通报。此前,教育部曾发文要求强化教育类App的网络与数据安全监管,保障用户信息安全。
近日,“学习通”APP被曝出疑似发生用户数据信息泄露的事件吵得沸沸扬扬。对此,小编特意了解了一下这款APP,学习通属于学习教育类APP,是国内高校中普及率较高的一款APP,用户可在该款APP上实现上课、考试等多个服务,其主要面向对象为高校师生。截止今日10时,据移动终端显示,安卓版与IOS版本下载量分别达1.4亿次和 12万次,整体评分偏低。
6月20日,某自媒体发文称:“大学生学习软件超星学习通的数据库信息正在被黑客在非法渠道售卖,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1.7273亿条。”
通过调查,红星新闻记者在一个线上聊天频道里发现,有用户疑似正在贩卖相关的数据信息“学习通数据单价为10元一人,购买整个数据库需要3000元”。 记者注意到,有频道负责人发布了一条关于“超星学习通”泄露事件的说明。其中提到,泄露内容包含手机号码、邮箱、姓名及就读信息,部分还包含年级、班级、明文密码等信息。在该份说明附带的泄露学校列表里,记者发现,疑似此次学习通数据库泄露涉及的学校数量众多,不仅包括全国各地的高等院校,还涉及多个幼儿园、中小学等教育机构。
6月21日下午,对于以上消息,学习通方面在微博上发布相关声明,称该公司在收到“疑似学习通APP用户数据泄露”的反馈信息后,立即组织技术排查,排查工作已经进行了十余个小时,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,已经向公安机关报案,公安机关已经介入调查。并表示,其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。”
6月21日,自媒体发文称“相关信息由我司相关安全研究员首发披露,介于事件正在调查过程中,为避免引发舆论过度关注,文章在昨天下午已删除。”
小编注意到,不少学习通用户表示,学习通App显示的使用次数异常,当天未登录APP的情况下,使用次数新增高达500次,甚至有用户的总使用次数远超119万次。此外,还有用户反映,自己多次接到了境外电话,对方除了能报出自己的身份证号、还知晓其支付宝的学生认证。
对此,
信安客提醒:加强个人信息安全意识,定期更换修改密码,防止不法分子违规盗用;日常上网时仔细甄别各类网络链接,切勿点击来路不明的链接与域名奇怪的链接;一旦点击链接要求录入账号、手机号、身份证号、短信验证码等信息务必谨慎对待,防止各类诈骗。
在学习通隐私政策显示,个人(包括未成年人)需提供手机号码注册学习通,单位用户则需在此基础上提供个人姓名、登录账号(学号/工号)以便单位管理统计。当用户使用学习通中的打卡签到、图片上传、超星课堂等功能时候,可能会需要开启位置信息、摄像头、相册、麦克风等访问权限。对于网传争议较大的通过学习通考试监考“必须要求用户开启麦克风、摄像头和实名制”的问题,隐私政策显示,用户可选择授权学习通开启设备的摄像头(相机)或麦克风,以实现信息的发布或具体识别功能。
学习通曾被通报侵害用户权益
在国家信息安全漏洞共享平台上,“超星学习通”APP曾被指存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
2021年1月,工信部曾通报的一批关于侵害用户权益行为APP中,学习通就曾因违规使用个人信息,遭工信部通报进行整改。同年7月,学习通因工信部检查发现仍违规使用个人信息未完成整改,再次被通报。
工信部、教育部出手规范教育类APP
根据2021年11月施行的《个人信息保护法》要求,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。未满14岁的未成年人个人信息应作为敏感个人信息予以严格保护,处理这类信息应当取得监护人同意,并制定专门的个人信息处理规则。
为强化教育类App的网络与数据安全监管,保障用户信息安全,2021年9月,教育部办公厅等多部门发布《关于做好现有线上学科类培训机构由备案改为审批工作的通知》(下称《通知》)。对于教育移动互联网应用程序(教育APP)的管理,《通知》要求教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
信安客再次提醒:日常生活或工作中,请加强个人信息安全意识,定期更换修改密码,防止不法分子违规盗用;日常上网时仔细甄别各类网络链接,切勿点击来路不明的链接与域名奇怪的链接;一旦点击链接要求录入账号、手机号、身份证号、短信验证码等信息务必谨慎对待,防止各类诈骗。