你的密码已被打包出售!
在这个大数据时代,个人信息都会记录在手机里,且现如今多数的软件都要求实名制,个人信息泄露早已成为不可回避的问题,其可能导致的严峻后果也要求我们必须谨慎对待每一个要求实名的 App——那如果这个 App 是学校推荐下载的呢?
6月21日,话题#学习通数据库疑发生信息泄露#冲上微博热搜第一。相关爆料信息显示,大学生学习软件“超星学习通”疑似出现数据库泄露,被公开售卖的数据里包括学校/组织名、姓名、手机号、学号/工号、性别、邮箱、密码等个人隐私。泄露数据高达 1 亿 7273 万条,且在境外平台被公开售卖。
据了解,“超星学习通”系北京世纪超星信息技术发展有限责任公司开发运营,国内众多高校都在推荐学生使用的主流学习软件。
但该软件曾在2021年被国家工业和信息化部信息通信管理局通报,称其涉及违规收集个人信息。此外,在国家信息安全漏洞共享平台上,“超星学习通”APP也曾被指存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
6月21日,通过调查,在一个线上聊天频道里发现,确实有多人在询问学习通数据如何查询,以及有用户疑似正在贩卖相关的数据信息“学习通数据单价为10元一人,购买整个数据库需要3000元”。
对此,“超星学习通”方面回应称,相关事件正在核实,还没有结果,“已经报警处理。”
同时,该声明还表示,学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。
用户数据遭泄露
6月20日晚,就有一微博网友爆料称,“据安全行业业界内消息,大学生学习软件‘超星学习通’被曝出现数据库泄露,被公开售卖,里面的数据包括姓名、性别、手机号、学校、学号等学生信息1亿7千万条。”不久,有关“学习通数据泄露”的相关话题便引发网友广泛关注与讨论。
学习通是一款移动学习专业平台,汇聚了海量图书、期刊、报纸、教学视频、原创资源等,还包括网络课打卡、图书馆座位预约、考试监考等功能,因此在大学中的普及率相当高,师生也均按照其实名制要求进行信息填写。
有网友表示,其早在使用之初就曾担心过个人信息安全,也曾有用户在网上提问“学习通会不会泄露个人信息?”但因该软件系学校推荐使用的,当时不少人说:“想多了,正规企业都有法律管着”,便未作过多猜测,“但学习通向用户索要了很多权限,不仅需要用户提供真实的姓名与身份证号,还会因各种需要强制要求用户打开麦克风、视频、定位等手机权限。”
不少大学生得知这则信息后都发表了自己的看法:
“全国大学生都在用吧?!!原来我们都是大冤种啊!必须有说法!!”
“这个是已经证实了不是疑似啦!1 亿多条必须判刑,严重侵害公民信息安全了,真的细思极恐!我全平台都是同样的密码…现在已经暴跳如雷了。”
“这种大规模的敏感信息泄露难道不应该立案调查,无论是被泄露方(学习通软件),还是正在泄露谋利的罪犯,都应该被追责,被绳之以法。”
与此同时,许多用户开始纷纷透露自己近期莫名接到很多骚扰电话:
“前几天就接到境外诈骗,能爆出我身份证号,知道我支付宝学生认证。”
“难怪,今天开始就各种国外号码呼进来了。”
还有许多人在仔细查看学习通之后,发现其使用次数多到异常:
被明码标价的用户数据
一网名为“无名渗透”的用户公开留言表示,自己可以代查学习通的账号密码以及身份证号。当向其表示想要代查学习通相关信息的用户时,对方则表示“学习通数据单价为10元一人,购买整个数据库需要3000元”。
有频道负责人发布了一条关于“超星学习通”泄露事件的说明。其中提到,泄漏内容包含手机号码、邮箱、姓名及就读信息,部分还包含年级、班级、明文密码等信息。该负责人提醒,该频道从未出售任何数据,在校学生不要试图购买或出售此数据,以防上当受骗。
而在该份说明附带的泄露学校列表里,疑似此次学习通数据库泄露涉及的学校数量众多,不仅包括全国各地的高等院校,还涉及多个幼儿园、中小学等教育机构。
数据泄露早已露端倪
天眼查显示,北京世纪超星信息技术发展有限责任公司成立于2000年1月27日,注册资本为3000万人民币,法定代表人为付国明,经营范围包括技术开发、技术推广、技术咨询、技术服务;销售计算机、软件及辅助设备等。在其客户一栏上,可以看到该公司近年来有上百名客户,多以国内各大高等院校为主。通过进一步查看其相关的招投标公告,有多个高校与其合作的项目为建设在线网络学习平台或网络教学一体化服务平台。
在注册学习通用户账号时,新用户在注册前须阅读并同意学习通的《隐私政策》和《用户协议》。其中,《隐私政策》里表示,学习通提供服务时,可能会收集、储存和使用用户的手机号码、个人姓名、登录账号(学号/工号)、位置权限、基于摄像头(相机)的附加功能、基于图片上传的附加功能、基于语音技术的附加功能、查看WLAN状态、读取SD卡、监听手机通话状态、悬浮窗权限、蓝牙权限、GET TASKS权限、设备信息、软件信息等。
值得注意的是,该《隐私政策》里表明,为保障学习通APP的稳定运行或实现相关功能,其可能会接入由第三方提供的软件开发包(SDK)实现前述目的。其接入的部分第三方SDK可能涉及收集用户信息,向用户提供服务。但其会评估该第三方手机信息的合法性、正当性、必要性,要求第三方对用户的信息采取保护措施,并且严格遵守相关法律法规与监管要求。
通过检索关键词可以发现,在国家信息安全漏洞共享平台上,“超星学习通”APP曾被指存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。且经营风险信息显示,该公司曾多次因违规收集、使用个人信息被信息通信管理局督促整改。
被泄露的资料会如何?
多数时候,网民习惯将邮箱、微博、游戏、网上支付、购物等帐号设置相同密码,一旦数据库被泄漏,所有的用户资料被公布于众,任何人都可以拿着密码去各个网站去尝试登录,对一些敏感的金融行业是致命的危害,对普通用户可能造成财产,个人隐私的损失或泄漏。
而数据的泄露并非小事,早期就有类似的事件发生,导致用户财产损失。2011年12月21日,某专业网站数据库开始在网上被疯狂转发,包括600余万个明文的注册邮箱和密码泄露,大批受影响用户为此连夜修改密码。此后,178游戏网等5家网站用户数据库又相继公开,更有媒体曝光金山毒霸等数十家大型网站已遭黑客“拖库”,从而将2011年末的密码危机推向高峰。
2015年10月17日,有微博用户发文称,网易邮箱被暴力破解,网易随后在官方微博上做出回应,称此系“撞库”所致,即黑客通过收集互联网中已泄露的用户和密码信息,尝试批量登录其他网站。19日下午,网站安全漏洞发现者乌云平台用户“路人甲”发布了《网易163/126邮箱过亿数据泄密》,报告称,泄露信息包括用户名、密码、密码保护信息、登录IP以及用户生日等多个原始信息,影响数量总共近5亿条。
什么是拖库?
据了解,拖库本来是数据库领域的术语,指从数据库中导出数据。原本这么单纯的事,在不法黑客多次攻击事件之后,被用来指不法黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。而这些“库”还可以形成一个黑色产业链:
黑客入侵A网站后对网站拖库,拿到的数据可以存到自己的社工库里,也可以直接洗库变现。拿到的这部分数据再去B网站尝试登陆,而这就可以称之为是撞库。撞库后的数据可以继续存入社工库,或是洗库变现,以此循环...
因互联网技术的不断发展,想要获取一个人在网上的个人信息有多种途径,除开软件运营商违规操作外,还有可能是不法分子通过网络技术入侵数据库,或用户自己不小心浏览了来历不明的链接,因链接上的木马病毒导致信息泄露。因此,用户在日常上网时一定要谨慎小心,仔细甄别各类网络链接,来路不明的链接不要点击,没有安全认证的网站也不要浏览。
