图片来源:unsplash
6 月 21 日,#学习通#冲上微博热搜第一。日前,据 M78 安全团队微信号消息,国内众多高校都在推荐学生使用的主流学习软件「超星学习通」被曝数据库信息泄露,其中包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱、密码等个人隐私,泄露数据高达 1 亿 7273 万条,且在境外平台被公开售卖。
由此引发了广大学习通用户的强烈谴责与担忧,与此同时,许多用户开始纷纷透露自己近期莫名接到很多骚扰电话,甚至有用户反映收到境外诈骗电话,对方能报出自己的身份证号、知道自己有支付宝学生认证。此外,还有许多人在仔细查看学习通之后,发现其使用次数多到异常。
学习通,又名「超星学习通」,该款 APP 由北京世纪超星信息技术发展有限责任公司开发。据悉,超星学习通是在大学中普及率非常高的一款 App,其功能包括网络课打卡、考试监考等,汇聚了海量图书、期刊、报纸、教学视频、原创资源等。
目前,学习通在安卓应用商店中显示被安装超过 5 亿次,而在 App Store 中的评分仅有 1.4 分(基于超过 12 万个评分),许多低分评价都在控诉其要求开放的权限过大,为实现考试监考功能,用户「必须开麦克风、必须开摄像头、必须实名制」。
学习通回应“密码泄露”传言不实
6 月 21 日下午,学习通官方微博发布关于「疑似学习通用户数据泄露」传闻的声明,表示公司在收到「疑似学习通 APP 用户数据泄露」的反馈信息后,立即组织技术排查,目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,公司已经向公安机关报案,公安机关已经介入调查。
学习通还表示,学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。用户信息安全是重大问题,公司高度重视,将协助公安机关继续深入调查,全力保障用户信息和数据安全。
然而对于学习通的回应,网友并不买账。大部分用户主要质疑:如果信息没有被泄露,那么为何使用量有十几万那么高。针对用户对使用量的质疑,学习通又在官微发布了「关于学习通使用量数据的说明」,称学习通使用量不是「使用学习通的次数」,而是用户使用学习通时向服务器发出的页面请求次数,一个学习者正常学习每天会有几百到上千使用量,学习者有几十万学习通使用量是正常现象,而非账号泄露的表现。
有部分网友表示,已有学校通知学生修改密码,也有网友建议为防止撞库(即指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户),需尽快修改密码。
教育APP信息安全事件频发背后
近年来,教育类 APP 侵犯用户信息安全的案例屡见不鲜。
自 2019 年 12 月起,工信部开始披露《关于侵害用户权益行为的 APP 通报》。其首次披露的 41 款 APP 存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题。
此后,自 2020 年 5 月起,工信部每个月都会披露一批违规 APP 名单,而几乎每一期的名单中都会涉及到部分违规的教育 APP。
而最近的一次通报是在 2022 年 6 月 1 日,其中违规 APP 涉及 84 款,包括教育类 APP 9 款。违规收集或使用个人信息、欺骗误导强迫用户、强制频繁过度索取权限成为教育类 APP 违规中最为高发的问题。
图注:工业和信息化部通报存在问题的 APP 名单
(2022 年第 4 批,总第 24 批)
截至目前,被工信部点名通报的教育类 APP 已达上百种,其中不乏知名企业推出的产品。
学习通此次数据泄露事件,也暴露出其存在种种弊端。除了此次被曝「违规收集个人信息」,超星学习通 APP 去年 8 月因涉未成年人在线学习违法违规行为,被国家网信办依法查处通报。据称,超星学习通 APP「推荐」栏目传播导向存在严重问题的内容,「学习资料」栏目包含描写儿童自杀内容的读物,危害未成年人身心健康。
数据安全,预防大于“治疗”
对于教育类产品的数据安全保护工作,国家层面在加大监管力度。2019 年,教育部等八部门联合发布《关于引导规范教育移动互联网应用有序健康发展的意见》,对规范数据管理方面提出明确要求。
其中指出,教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制;按照「后台实名、前台自愿」的原则,对注册用户进行身份信息认证;收集使用个人信息应当明示收集使用信息的目的、方式和范围,并经用户同意;收集使用未成年人信息应当取得监护人同意、授权;不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供服务无关的个人信息,不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人信息。
2021 年,北京市教委、北京市委网信办和北京市公安局三部门联合发布《关于规范教育类 APP 安全威胁整改工作的公告》,披露了教育移动互联网应用程序备案管理平台,同时要求各单位定期登陆备案管理平台,查看安全微信通报,并按期整改。若未按期完成整改,市教委将向社会通报。若通报后仍未按要求整改,市教委将联合市网信、公安等部门进行约谈,依法依规对相关 APP 采取暂停更新、关闭下架等措施。
2022 年,北京市教委、北京市委网信办、北京市通信管理局发布《关于进一步做好教育移动互联网应用程序备案及管理工作的通知》,进一步要求加强备案管理,加强对教育移动应用的核验,一旦发现违规行为,及时采取相应措施。
从事数据安全方面的相关专家指出,因监管力度缺乏,技术难度低,违规成本低等原因,许多企业在用户数据安全方面的重视程度严重不足。所以,对于教育 App 提供者而言,应当落实网络安全主体责任,采取有效措施,防范应对网络攻击,保障系统的平稳、安全运行;建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,保护用户隐私。此外,行业也需要一些第三方工具来辅助用户做监管,但这样的软件往往需要最高的用户权限,所以最好的方式是由官方背书的产品为宜。
总的来说,教育 App 提供者应根据教育部相关通知、国家网络安全法、数据安全法等法律法规要求,定期进行自纠自查,严格落实教育网络与数据安全的要求,为用户信息安全做好保驾护航工作。
而作为个人用户来说,对自身数据安全的防护主要还是在提升防范意识方面。例如,不轻易打开不明链接;在正规的应用商店下载软件;非使用必要不提供软件授权;软件使用完毕后及时关闭软件,谨防数据被从后台获取。
文章综合自国家工信部、北京市人民政府、CSDNnews、每日经济新闻等
本文转自微信公众号“多鲸”(ID:DJEDUINNO)。文章为作者独立观点,不代表芥末堆立场,转载请联系原作者。
来源:多鲸