记者|陈振芳
大学生数据安全再次引发公众担忧。
6月20日,M78安全团队公众号发文称,大学生学习软件超星学习通的数据库信息正在被黑客在非法渠道售卖,兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1.7273亿条。
“相关信息由我司相关安全研究员首发披露,介于事件正在调查过程中,为避免引发舆论过度关注,文章在昨天下午已删除。”6月21日,该团队在其公众号发文称。
21日下午三点,学习通发布声明称,昨晚收到“疑似学习通APP用户数据泄露”的反馈信息,排查未发现明确的用户信息泄露证据,已向公安机关报案。
“不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,公司确认网上传言密码泄露是不实的。”学习通称。
同日,界面教育多次电话联系超星学习通,截至发稿,未收到回复。
“我司对灰黑产关键词进行了长期监控,发现境外某频道黑客疑似进行相关兜售行为。”6月21日晚,M78安全团队相关人士在接受界面教育采访时表示,“从目前证据表明,是黑客的入侵行为,不完全排除内鬼的可能。”
该人士称,从相关频道来看,(这种兜售行为)近日一直在持续,黑客发布时间在6月18日之前。
官网显示,学生可以在超星学习通上学习学校课程,进行小组讨论,查看本校通讯录,查阅下载资料,其主要用户为大学生群体。2020年5月,学习通上线了智慧考试系统,可实现人脸识别监考。
蒋灵灵就读于南方某大学,大一曾注册并实名认证使用超星学习通。蒋灵灵告诉界面教育,大学四年,她一直高频使用学习通,该APP收集了她的学校、专业、学号、手机号,以及学习情况等信息。
多位受访者告诉界面教育,他们会使用学习通进行选修课学习、上课、签到、下载资料,疫情期间在该APP进行考试。
站内使用次数是引发公众质疑的一大因素。
“三年,浏览20万次,平均每天几乎200多次站内浏览,怎么可能?”大三的李晓岚告诉界面教育,她也是学习通的用户之一,后台显示,她的站内使用次数达到20.08万次,而她在假期内几乎不使用学习通。
她怀疑,自己的站内信息被偷看窃取了。
蒋灵灵、李晓岚同学的站内使用次数分别达到11.62万、28万次。更多人也在社交媒体下留下自己的站内使用次数,认为使用次数不符合实际次数,并表达对该APP数据安全的担心。
对此,学习通发布公告称,“学习通使用量不是使用学习通的次数,而是用户向服务器发出的页面请求次数,一个学习者正常学习每天会有几百到上千使用量。学习者有几十万学习通使用量是正常现象,而不是账号泄露的表现。”
学习通的数据隐忧并非首次。
2021年1月,学习通两次被工信部点名通报其违规收集用户信息。同年7月,由于检查未完成整改,该APP再度被工信部通报。
天眼查App显示,学习通的关联企业为北京世纪超星信息技术发展有限责任公司,成立于2000年1月,法定代表人付国明,注册资本3000万元。招投标信息显示,该公司曾中标2000多家大学、图书馆、政府机构等项目。
今年以来,该公司已有300条中标信息,服务对象包括河南科技学院、云南中医药大学、浙江金融职业学院、上海财经大学浙江学院、山东旅游职业学院等。
该公司实控人阙超还关联20余家企业,其中北京超星数图信息技术有限公司曾因不履行网络安全保护义务被罚,兰州超星教育科技有限公司曾因提供虚假材料谋取中标被罚。
“由于习惯使用同一个手机号及密码,注册其他的个人APP以及银行卡。”多位受访者担心其他信息的安全问题。
“看到热搜后,我就修改了学习通密码。”李晓岚告诉界面教育,虽然经常收到诈骗电话,但她无法确认是否与这次事件有关。
如何加强信息安全?M78安全团队相关人士认为,从国家,政府角度来说,要确保核心数据由党管,商业公司不得储存大量核心数据。
从企业来说,要从心里对网络安全怀有敬畏之心,很多企业都把安全作为可有可无的建设方案,一旦此类用户核心数据泄露,会对企业的商誉、市场占有率造成极大影响,远高于做安全建设的钱。
(钟灵灵、李晓岚为化名)