中國(guó)消費(fèi)者報(bào)報(bào)道(記者武曉莉)近日有微博網(wǎng)友曝料稱,學(xué)習(xí)軟件超星學(xué)習(xí)通的數(shù)據(jù)庫(kù)信息疑似被公開售賣,其中疑似泄露的數(shù)據(jù)包含姓名、手機(jī)號(hào)、性別、學(xué)校、學(xué)號(hào)、郵箱等信息1.7273億條,含密碼1076萬(wàn)條?!皩W(xué)習(xí)通”話題一度登上微博熱搜第一,截至記者發(fā)稿時(shí)閱讀量已超過(guò)3億次。
記者發(fā)現(xiàn),話題一曝光,這款本來(lái)就評(píng)分超低(1.4分,總分5分)的軟件,一天之內(nèi)評(píng)分更低至1.3分,評(píng)論區(qū)充滿了學(xué)生們憤怒的質(zhì)問(wèn)。作為一款在大中學(xué)生中普及率超高的學(xué)習(xí)軟件,此次事件暴露出個(gè)人信息保護(hù)的諸多短板,信息安全任重道遠(yuǎn)。
加密后密碼是否就不會(huì)泄露
網(wǎng)友在使用網(wǎng)頁(yè)或者登錄App時(shí),常常會(huì)被問(wèn)“是否存儲(chǔ)密碼”,一般不常用的人都會(huì)點(diǎn)擊不存儲(chǔ),以此作為個(gè)人安全措施。
此次事件中,超星學(xué)習(xí)通方面強(qiáng)調(diào),網(wǎng)上傳言密碼泄露不實(shí)。因?yàn)樗麄儾淮鎯?chǔ)用戶明文密碼,而是采取單向加密存儲(chǔ),在這種技術(shù)手段下,即使公司內(nèi)部員工(包括程序員)也無(wú)法獲得密碼明文,因此“理論上用戶密碼不會(huì)泄露”。
“密碼存儲(chǔ)加密僅僅是對(duì)密碼在整個(gè)生命周期過(guò)程中的存儲(chǔ)環(huán)節(jié)進(jìn)行安全防護(hù)?!睒O盾科技CTO 鄭冬東對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),無(wú)論對(duì)用戶還是對(duì)平臺(tái),密碼泄露的渠道非常多。“在其他環(huán)節(jié),比如密碼采集(即獲取用戶輸入的密碼)、傳輸、使用等環(huán)節(jié),如果沒(méi)有相應(yīng)的防護(hù)措施,均有可能被泄露。例如,如果App被植入了木馬,在密碼采集環(huán)節(jié),用戶輸入的密碼就會(huì)被木馬竊取。再比如在密碼傳輸環(huán)節(jié),雖然通信渠道進(jìn)行了加密,但密碼自身沒(méi)有被加密,進(jìn)入后端系統(tǒng)之后,通信內(nèi)容有可能會(huì)被解密。在這個(gè)環(huán)節(jié),如果后端系統(tǒng)遭到攻擊、內(nèi)部有人員編寫后門代碼,甚至普通開發(fā)無(wú)意中打印通信內(nèi)容日志等,密碼就會(huì)被泄露出去?!编嵍瑬|說(shuō)。
鄭冬東認(rèn)為,這種問(wèn)題并不是個(gè)例,大家普遍認(rèn)為對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)或者硬盤中的數(shù)據(jù)加密,就能一勞永逸地保證數(shù)據(jù)的安全,但其實(shí)存儲(chǔ)加密僅僅是數(shù)據(jù)安全防護(hù)中的一環(huán)。密碼只是眾多敏感信息中的一種。即便密碼可以保證不發(fā)生泄露,也無(wú)法保證其他敏感信息,比如學(xué)生證、身份證不被泄露。所以,敏感信息泄露保護(hù)不僅僅是保護(hù)密碼不被泄露。
信息泄漏有內(nèi)外兩種原因
超星學(xué)習(xí)通是在大學(xué)中普及率非常高的一款A(yù)pp,其功能包括移動(dòng)教學(xué)、移動(dòng)學(xué)習(xí)、移動(dòng)閱讀等,常用于網(wǎng)絡(luò)課打卡、考試監(jiān)考等。泄密事件發(fā)生后,社交媒體和應(yīng)用商店里該App評(píng)價(jià)欄中,有大量學(xué)生表示近期有自己信息被泄露的征象。例如,有外地的手機(jī)號(hào)頻繁地給自己發(fā)信息、打電話;接到了境外詐騙電話,對(duì)方能準(zhǔn)確地報(bào)出自己的身份證號(hào)碼,甚至知道自己有支付寶的學(xué)生認(rèn)證等。
“從過(guò)去多起數(shù)據(jù)泄露事件來(lái)看,造成企業(yè)數(shù)據(jù)泄露的原因既可能是外部的也可能是內(nèi)部的。”奇安信數(shù)據(jù)安全專家、數(shù)據(jù)安全子公司副總經(jīng)理姚磊對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),“攻擊者可能利用目標(biāo)系統(tǒng)漏洞或者竊取到的特權(quán)賬戶,獲取了相應(yīng)數(shù)據(jù)庫(kù)管理員的權(quán)限,從而完成拖庫(kù)行為。比如領(lǐng)英數(shù)據(jù)泄露事件,就被證實(shí)為黑客利用其API漏洞所致。”
姚磊認(rèn)為,內(nèi)部原因分兩種:第一種有可能是運(yùn)維人員的不當(dāng)操作致使數(shù)據(jù)意外泄露,第二種則是有內(nèi)鬼作祟,如果其內(nèi)部權(quán)限管控缺失或者行為審計(jì)有紕漏,內(nèi)部員工(如數(shù)據(jù)庫(kù)管理員)可以利用自身系統(tǒng)權(quán)限,將數(shù)據(jù)庫(kù)中的數(shù)據(jù)批量下載下來(lái),然后進(jìn)行倒賣。因此,企業(yè)應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全防護(hù)力度,避免大量使用弱口令,對(duì)于發(fā)現(xiàn)的安全隱患要及時(shí)處置。
奇安信集團(tuán)副總裁、創(chuàng)新BG負(fù)責(zé)人孔德亮在接受《中國(guó)消費(fèi)者報(bào)》記者采訪時(shí)表示,信息泄露事件頻發(fā),表明很多企業(yè)、機(jī)構(gòu)的數(shù)據(jù)處在“裸奔”狀態(tài),這是數(shù)據(jù)安全當(dāng)前的首要問(wèn)題,防裸奔、補(bǔ)短板迫在眉睫,包括對(duì)內(nèi)部超越權(quán)限或者高危操作的嚴(yán)格控制。
鄭冬東認(rèn)為,對(duì)企業(yè)而言,數(shù)據(jù)安全的建設(shè)是體系化的,要圍繞數(shù)據(jù)全生命周期過(guò)程,從組織架構(gòu)、流程制度、技術(shù)工具、人員意識(shí)等多維度進(jìn)行建設(shè)。對(duì)個(gè)人而言,可以使用并定期更換高復(fù)雜度的密碼、不安裝未知來(lái)源的App、及時(shí)升級(jí)系統(tǒng)、安裝殺毒軟件等手段進(jìn)行防范。
平臺(tái)承擔(dān)何種責(zé)任
“平臺(tái)承擔(dān)責(zé)任的前提,首先是落實(shí)數(shù)據(jù)泄露渠道?!敝袊?guó)電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心審查部總監(jiān)、3•15信息安全實(shí)驗(yàn)室專家何延哲對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),“泄露流轉(zhuǎn)的數(shù)據(jù)挺多,不好判斷是如何造成的泄漏,或者泄露的主體是誰(shuí)。比如在此事例中,手機(jī)號(hào)、姓名、身份證號(hào)是通用數(shù)據(jù),很多平臺(tái)都收集。因此,在落實(shí)法律責(zé)任之前,一定要確認(rèn)平臺(tái)是否為信息泄露方。但本次事例中有個(gè)特殊性,即學(xué)號(hào),這就有很大可能是學(xué)習(xí)通泄露的。”
何延哲表示,超星學(xué)習(xí)通方面聲稱已經(jīng)報(bào)警,如果警方有證據(jù)證明是學(xué)習(xí)通泄密,那超星學(xué)習(xí)通就違反了個(gè)人信息保護(hù)法律法規(guī),如果企業(yè)的安全措施沒(méi)做到位導(dǎo)致個(gè)人信息遭受侵犯,此前又沒(méi)有告知用戶采取修改密碼等措施降低風(fēng)險(xiǎn)等,依法就應(yīng)受到處罰。
記者研究超星學(xué)習(xí)通的用戶協(xié)議發(fā)現(xiàn),“其他免責(zé)聲明”中表示,對(duì)于因不可抗力或平臺(tái)方不能預(yù)料、不能控制的原因(包括但不限于計(jì)算機(jī)病毒或黑客攻擊、系統(tǒng)不穩(wěn)定、用戶不當(dāng)使用賬戶,以及其他任何技術(shù)、互聯(lián)網(wǎng)絡(luò)、通信線路原因)產(chǎn)生的包括但不限于用戶計(jì)算機(jī)信息和數(shù)據(jù)的安全問(wèn)題,用戶個(gè)人信息的安全問(wèn)題等給用戶或任何第三方造成的損失,平臺(tái)方不承擔(dān)任何責(zé)任。
“這項(xiàng)條款是否有效,要看平臺(tái)是否盡到技術(shù)安全保障的義務(wù)?!北本┰萍温蓭熓聞?wù)所律師趙占領(lǐng)對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),“如果是因?yàn)閷W(xué)習(xí)通系統(tǒng)本身就存在漏洞導(dǎo)致黑客入侵,免責(zé)條款就是無(wú)效的,學(xué)習(xí)通仍然要承擔(dān)相應(yīng)的法律責(zé)任,賠償用戶的損失。”
網(wǎng)友質(zhì)疑為何不下架
記者看到,超星學(xué)習(xí)通App目前在iOS應(yīng)用商店的評(píng)分已經(jīng)低至1.3。由于系統(tǒng)默認(rèn)“對(duì)您有用的評(píng)價(jià)”排序?yàn)樾羌?jí)從高到低,也就是說(shuō)如果評(píng)分過(guò)低,評(píng)價(jià)內(nèi)容可能排到幾十上百頁(yè)之后,很難被看到。因此,為了讓自己的負(fù)面評(píng)價(jià)排到前面被后來(lái)的用戶看到,不少用戶選擇了給5星評(píng)分,而評(píng)價(jià)內(nèi)容全部是負(fù)面的。
從用戶吐槽的內(nèi)容看,超星學(xué)習(xí)通不僅此次泄露了用戶信息,而且存在超范圍收集個(gè)人隱私信息、強(qiáng)制在學(xué)習(xí)中使用等情況,因此,被用戶詬病不是一天兩天了。
“考試的時(shí)候都會(huì)截屏、要打開攝像頭,很過(guò)分?!闭憬Q髮W(xué)院的王子新對(duì)記者說(shuō),她不明白,長(zhǎng)期評(píng)分這么低的軟件為何不被下架?這么明目張膽侵犯學(xué)生隱私的App為什么必須要用呢?
“一般來(lái)說(shuō),不會(huì)因?yàn)樵u(píng)分低而下架?!焙窝诱苷f(shuō),“因?yàn)樵u(píng)分是一個(gè)主觀意愿,也存在惡意打低分的情況。而下架處理相當(dāng)于商品不能出售,類似于一個(gè)行政處罰措施。但是超星學(xué)習(xí)通這個(gè)評(píng)分已經(jīng)足夠可以提醒用戶這個(gè)軟件不太好,所以在下載使用時(shí)就需要更加警惕?!?/p>
對(duì)于用戶反映的超星學(xué)習(xí)通評(píng)分如此低為何還必須使用,何延哲認(rèn)為,如果這個(gè)App是在某一些場(chǎng)景下被某個(gè)部門強(qiáng)推的,要求學(xué)生在教學(xué)、考試中必須下載該App,而這款A(yù)pp得分又比較低,其安全措施又沒(méi)做好,那推廣方就應(yīng)該對(duì)這個(gè)App的安全進(jìn)行把關(guān)。
記者從超星學(xué)習(xí)通相關(guān)條款中了解到,超星學(xué)習(xí)通提供服務(wù)時(shí),可能會(huì)收集、儲(chǔ)存和使用用戶的手機(jī)號(hào)碼、個(gè)人姓名、登錄賬號(hào)、位置權(quán)限、基于攝像頭(相機(jī))的附加功能、基于圖片上傳的附加功能、基于語(yǔ)音技術(shù)的附加功能、查看WLAN狀態(tài)、讀取SD卡、監(jiān)聽手機(jī)通話狀態(tài)、懸浮窗權(quán)限、藍(lán)牙權(quán)限、GET TASKS權(quán)限、設(shè)備信息、軟件信息等。
這是否涉嫌超范圍收集個(gè)人信息?“用戶在注冊(cè)時(shí)需要提供哪些個(gè)人信息,平臺(tái)已經(jīng)履行了告知義務(wù)并經(jīng)過(guò)用戶同意?!壁w占領(lǐng)說(shuō),這種情況下,平臺(tái)是否過(guò)度收集個(gè)人信息關(guān)鍵要看“是否違反了必要性原則”。而評(píng)估平臺(tái)收集個(gè)人信息是否具有必要性,需要結(jié)合具體的產(chǎn)品來(lái)分析,也就是“用戶不提供最基本的信息,平臺(tái)就無(wú)法向其提供相應(yīng)的服務(wù)”,比如導(dǎo)航軟件要收集用戶地理位置信息,購(gòu)物軟件要收集用戶姓名、收集號(hào)碼等信息。
官方微信公眾號(hào)
官方微博