、
近日,大学生学习软件超星学习通的用户信息遭到泄漏被公开售卖,其中泄漏的相关信息高达1亿7273条,对此超星学习通的相关负责人回应,到目前为止还未发现明确的用户信息泄露证据,鉴于事情重大,已经向公安机关报案,公安机关已经介入调查。专家表示,造成数据泄露的原因可能是内部的也可能是外部的,目前尚不清楚。而涉及个人隐私数据泄露的企业方,还有可能需要承担法律责任。
学习通App查看次数大幅增加,大学生随后接到疑似诈骗电话
日前,不少大学生纷纷反映自己的“超星学习通”学习账号疑似被别人使用,账户查看次数大幅增加。此外,不少学生反映,近期接到的诈骗电话可以准确地报出自己的姓名,身份证号以及支付宝的相关信息。
超星学习通是面向智能手机、平板电脑等移动终端的移动学习专业平台,目前全国多所大学的学生都有试用。用户可以在超星学习通上自助完成图书馆藏书借阅查询、电子资源搜索下载、图书馆资讯浏览,学习学校课程,进行小组讨论,查看本校通讯录等,该App同时拥有电子图书,报纸文章以及中外文献元数据,为用户提供方便快捷的移动学习服务。
北青报记者了解到,进入学习通“我”的页面,点击名字旁边的小标志就可以查看使用次数,被泄露信息的账号可以发现自己的使用数据发生了变化,使用数据次数从一万至二十几万不等,更有的同学接到了未知属地的短信和电话。
一名大二的学生李某告诉记者,自己是在微博看见热搜后,打开自己的学习通账户才发现自己的学习通账户也发现了类似情况。平时打开次数不多的App,自己账户的使用量却显示为25598次。当天下午,他还接到了未知属地的电话,对方能说出自己的个人信息,因为自己已经收到相关风险提示,所以才没有上当受骗。但是对于自己信息被泄漏一事,他表示自己有点害怕,担心自己的信息被他人利用,“以后可能不太敢再使用超星学习通了”。
据网传信息统计,此次泄漏的数据包括学校、姓名、学号、手机号和邮箱等相关信息1亿7273万条。
针对信息数据泄漏一事,学习通官方回应称:“我公司昨晚收到‘疑似学习通APP用户数据泄露’的反馈信息,立即组织技术排查,目前排查工作已经进行了十余个小时,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,我们已经向公安机关报案,公安机关已经介入调查。学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。用户信息安全是重大问题,我公司高度重视,将协助公安机关继续深入调查,全力保障用户信息和数据安全。”
教育网也发布重要通知,提示用户尽快修改为新密码,严防撞库对自己产生更大的危害,谨防诈骗。
为超百个大学提供服务,曾因提供虚假材料被罚
根据企查查显示,北京超星公司是中国规模大的数字图书馆解决方案提供商和图书资源供应商,注册资本3000万元,法人代表为付国明,旗下app被国内众多高校应用,公司成立于2000年。值得注意的是,该公司自身关联风险上千条,案件多为因侵害作品信息网络传播纠纷案由被起诉。
招投标信息显示,该公司曾中标2000多家大学、图书馆、政府机构等项目。其中今年以来该公司已有300条中标信息,服务对象包括河南科技学院、云南中医药大学、浙江金融职业学院、上海财经大学浙江学院、山东旅游职业学院等。
目前公司实际控股人为阙超,其关联企业22家,多为各地的超星信息技术有限公司,贵州、成都、北京等。2021年,兰州超星教育有限公司在参加“兰州石化职业技术学院精品在线开放课程建设项目”中因提供虚假材料被处罚。
泄漏原因涉及广泛,企业更应注意相关管理
针对此次信息数据泄漏事件,北青报记者采访了奇安信数据安全专家、数据安全子公司副总经理姚磊,“从过去多起数据泄露事件来看,通常造成企业数据泄露的原因既可能是外部的也可能是内部的,当然也可能是二者皆有。”姚磊分析称,攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。此类事件此前也时有发生,比如去年同期领英数据泄露事件,被证实为黑客利用其API漏洞所致。因此,企业应当加强数据安全防护力度,避免大量使用弱口令,对于发现的安全隐患要及时处置。
内部原因也要分为两种情况。种有可能是运维人员的不当操作致使数据意外泄露;第二种则是有内鬼作祟,如果其内部权限管控缺失或者行为审计有纰漏,内部员工(如数据库管理员)可以利用自身系统权限,将数据库中的数据批量下载下来,然后进行倒卖。从这个角度来看,企业应采用技术手段,加强自身内部员工的权限管理和行为审计,对于某些超越权限或者高危操作应严格控制。
对于泄漏个人信息数据是否违反相关法律法规,北青报记者采访了垦丁律师事务所创始合伙人麻策,麻策表示根据《数据安全法》规定,开展数据处理活动的组织没有采取相应的技术措施和其他必要措施,保障数据安全,造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。当数据涉及个人信息且情节严重的,还可以依据《个人信息保护法》由省级以上履行个人信息保护职责的部门处五千万元以下或者上一年度营业额百分之五以下罚款。
企业如何加强网络及信息安全?
大势至(北京)软件工程有限公司实时推出了可以有效控制电脑USB口使用、防止电脑随意使用优盘的“大势至电脑文件防泄密系统”。大势至电脑文件防泄密系统是一款适用于Windows操作系统的USB设备监控管理软件。该软件适用于企业、政府、军队、广告公司、设计单位等对信息安全性有特殊要求的机构,主要用于防止外部或内部人员有意或随意使用U盘、移动硬盘等USB移动存储设备拷贝内部机密信息而给单位带来的重大损失,达到有效保护单位商业机密的目的。
大势至电脑文件防泄密系统基于单机版和网络版两种架构,单机版安装在一台电脑上;网络版基于C/S架构,分为管理端和客户端,管理员电脑安装管理端,局域网其他电脑安装客户端。
1)单机版界面:
2)网络版界面:
图:管理端界面
该系统还具有针对U盘等存储设备全面的读取权限控制功能,同时还可以实现基于特定U盘的读取操作、受密码权限保护的U盘读取操作。此外,还具有局域网网络行为控制功能,具体而言,可以实现针对与电脑文件传输有关的各类限制操作,包括“禁止微信传输文件”、“禁止聊天软件运行”以及“只允许特定的程序运行”等功能。可以针对操作系统常用系统功能进行控制,实现智能接入设备管理,计算机端口控制等功能。通过此款大势至电脑文件防|泄|密|工具,实现对可移动U盘及固件硬盘等设备访问电脑文件的管理功能,可以针对局域网电脑网络行为(比如浏览网站、运行程序、聊天下载以及网盘下载等)进行全面的监控,针对操作系统关键参数(比如修改组策略、注册表、Ghost系统、格式化磁盘、修改IP、局域网共享、屏幕截图、局域网通讯等)进行保护,也可以对计算机端口的启用或禁用操作进行全面有效的管理。
