6月21日,话题#学习通数据库疑发生信息泄露#冲上微博热搜。相关爆料信息显示,大学生学习软件“超星学习通”疑似出现数据库泄露,被公开售卖的数据里包括姓名、性别、手机号、学校、学号等。据了解,“超星学习通”系北京世纪超星信息技术发展有限责任公司开发运营,是国内高校中普及率较高的一款APP。但该软件曾在2021年被国家工业和信息化部信息通信管理局通报,称其涉及违规收集个人信息。此外,在国家信息安全漏洞共享平台上,“超星学习通”APP也曾被指存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
6月21日,通过调查,红星新闻记者在一个线上聊天频道里发现,确实有多人在询问学习通数据如何查询,以及有用户疑似正在贩卖相关的数据信息“学习通数据单价为10元一人,购买整个数据库需要3000元”。
对此,“超星学习通”方面回应红星新闻记者称,相关事件正在核实,还没有结果,“已经报警处理。”
6月21日下午,学习通方面在微博上发布相关声明,称该公司在收到“疑似学习通APP用户数据泄露”的反馈信息后,立即组织技术排查,目前排查工作已经进行了十余个小时,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,已经向公安机关报案,公安机关已经介入调查。
同时,该声明还表示,学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。
用户数据被曝泄露
贩卖者称3000元可买整个数据库资料
6月20日晚,一微博网友爆料称,“据安全行业业界内消息,大学生学习软件‘超星学习通’被曝出现数据库泄露,被公开售卖,里面的数据包括姓名、性别、手机号、学校、学号等学生信息1亿7千万条。”不久,有关“学习通数据库疑发生信息泄露”的话题便引发网友广泛关注与讨论。
有网友表示,其早在使用之初就曾担心过个人信息安全,但因该软件系学校推荐使用的,便未作过多猜测,“但学习通向用户索要了很多权限,不仅需要用户提供真实的姓名与身份证号,还会因各种需要强制要求用户打开麦克风、视频、定位等手机权限。”也有使用者表示,自己一直很注意网上的信息安全,但近期还是接到了许多骚扰电话。
据了解,“超星学习通”是国内高校中普及率较高的一款APP,用户可在该款APP上实现上课、考试等多个服务。也因此,该软件所针对的受众群体多为高校师生。
6月21日,红星新闻记者通过多种渠道进入到网传疑似泄露学习通用户个人信息的在线聊天频道,发现里面有多人正在询问学习通数据如何查询。同时,也确实有用户疑似正在贩卖相关的数据信息。
在该聊天频道,红星新闻记者看到,一网名为“无名渗透”的用户公开留言表示,自己可以代查学习通的账号密码以及身份证号。当记者私信其表示想要代查学习通相关信息的用户时,对方则表示“学习通数据单价为10元一人,购买整个数据库需要3000元”。
此外,红星新闻记者还在该聊天频道看到一条来源疑为“超星个人网”的学生个人信息。根据上面泄露出的姓名与手机号码,记者联系到了当事人武小姐。她向记者确认了泄露信息中内容的真实性,“我的确在学习通上面登记过姓名、手机、QQ号等相关信息。”同时,武小姐表示,因自己的学号与“超星个人网”的工号是独一无二的,不可能在其他注册过的平台出现,因此怀疑自己被泄露在网上的信息系从“超星学习通”上流出。
21日中午12时许,红星新闻记者注意到,在前述聊天频道里,有频道负责人发布了一条关于“超星学习通”泄露事件的说明。其中提到,泄漏内容包含手机号码、邮箱、姓名及就读信息,部分还包含年级、班级、明文密码等信息。该负责人提醒,该频道从未出售任何数据,在校学生不要试图购买或出售此数据,以防上当受骗。
而在该份说明附带的泄露学校列表里,记者发现,疑似此次学习通数据库泄露涉及的学校数量众多,不仅包括全国各地的高等院校,还涉及多个幼儿园、中小学等教育机构。
对此,红星新闻记者拨打了学习通平台上的客服热线电话。相关工作人员表示,有关网传的数据库疑发生信息泄露事件正在核实,还没有结果。而学习通所属的北京世纪超星信息技术发展有限责任公司一位工作人员也向红星新闻确认,该公司目前在调查相关情况,且已经报警处理。
曾被通报侵害用户权益
被指违规收集个人信息有安全漏洞
公开资料显示,“超星学习通”系北京世纪超星信息技术发展有限责任公司开发运营,是基于微服务架构打造的课程学习、知识传播与管理分享平台。北京世纪超星信息技术发展有限责任公司则是一家数字图书馆解决方案提供商和数字图书资源提供商,拥有全国最大的图书数字化加工中心。
天眼查显示,北京世纪超星信息技术发展有限责任公司成立于2000年1月27日,注册资本为3000万人民币,法定代表人为付国明,经营范围包括技术开发、技术推广、技术咨询、技术服务;销售计算机、软件及辅助设备等。在其客户一栏上,记者看到,该公司近年来有上百名客户,多以国内各大高等院校为主。通过进一步查看其相关的招投标公告,记者发现,多个高校与其合作的项目为建设在线网络学习平台或网络教学一体化服务平台。
而通过注册学习通用户账号,红星新闻记者则发现,新用户在注册前须阅读并同意学习通的《隐私政策》和《用户协议》。其中,《隐私政策》里表示,学习通提供服务时,可能会收集、储存和使用用户的手机号码、个人姓名、登录账号(学号/工号)、位置权限、基于摄像头(相机)的附加功能、基于图片上传的附加功能、基于语音技术的附加功能、查看WLAN状态、读取SD卡、监听手机通话状态、悬浮窗权限、蓝牙权限、GET TASKS权限、设备信息、软件信息等。
值得注意的是,该《隐私政策》里表明,为保障学习通APP的稳定运行或实现相关功能,其可能会接入由第三方提供的软件开发包(SDK)实现前述目的。其接入的部分第三方SDK可能涉及收集用户信息,向用户提供服务。但其会评估该第三方手机信息的合法性、正当性、必要性,要求第三方对用户的信息采取保护措施,并且严格遵守相关法律法规与监管要求。
通过检索关键词,红星新闻记者发现,在国家信息安全漏洞共享平台上,“超星学习通”APP曾被指存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
此外,去年1月22日,中华人民共和国工业和信息化部曾通报的一批关于侵害用户权益行为APP中,由北京世纪超星信息技术发展有限责任公司开发的“学习通”也被指出涉及违规收集个人信息。
“就目前的信息来看,学习通用户被泄露的信息多是姓名、电话、身份证号等内容。”一名从事软件开发的程序员告诉红星新闻记者,因网贷公司、房产公司等想要获得广泛的客户资源,具有精准性的“人名+电话号码”的个人信息是他们最需要的资源,所以目前互联网市场上被贩卖最多的个人信息就是电话号码。
该程序员还说,因互联网技术的不断发展,想要获取一个人在网上的个人信息有多种途径,“除开软件运营商违规操作外,还有可能是不法分子通过网络技术入侵数据库,或用户自己不小心浏览了来历不明的链接,因链接上的木马病毒导致信息泄露。”因此,该程序员提醒,用户在日常上网时一定要谨慎小心,仔细甄别各类网络链接,“来路不明的链接不要点击,没有安全认证的网站也不要浏览。”