近日有微博网友曝料称,学习软件超星学习通的数据库信息疑似被公开售卖,其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1.7273亿条,含密码1076万条。 


▲截至记者发稿时,“学习通”话题在微博阅读量已超过3亿次。

数据是如何被窃取的?超星学习通该担何责?消费者应该如何保护个人数据隐私?记者就此采访了相关专家。 

信息是如何被泄露的? 

据了解,超星学习通是在大学中普及率非常高的一款app。泄密事件发生后,社交媒体和应用商店里该app评价栏中,有大量学生表示近期有自己信息被泄露的征象。


“从过去多起数据泄露事件来看,造成企业数据泄露的原因既可能是外部的也可能是内部的。”奇安信数据安全专家、数据安全子公司副总经理姚磊对记者说,“攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。”

姚磊认为,内部原因分两种:第一种有可能是运维人员的不当操作致使数据意外泄露,第二种则是有内鬼作祟。

奇安信集团副总裁、创新bg负责人孔德亮在接受记者采访时表示,信息泄露事件频发,表明很多企业、机构的数据处在“裸奔”状态,这是数据安全当前的首要问题,防裸奔、补短板迫在眉睫,包括对内部超越权限或者高危操作的严格控制。

密码加密是否就不会泄露? 

此次事件中,超星学习通方面强调,网上传言密码泄露不实。因为他们不存储用户明文密码,而是采取单向加密存储,在这种技术手段下,即使公司内部员工(包括程序员)也无法获得密码明文,因此“理论上用户密码不会泄露”。


“密码存储加密仅仅是对密码在整个生命周期过程中的存储环节进行安全防护。”极盾科技cto 郑冬东对记者说,无论对用户还是对平台,密码泄露的渠道非常多。在其他环节,比如密码采集(即获取用户输入的密码)、传输、使用等环节,如果没有相应的防护措施,均有可能被泄露。

即便密码可以保证不发生泄露,也无法保证其他敏感信息,比如学生证、身份证不被泄露。所以,敏感信息泄露保护不仅仅是保护密码不被泄露。

郑冬东认为,对个人而言,可以使用并定期更换高复杂度的密码、不安装未知来源的app、及时升级系统、安装杀毒软件等手段进行防范。

超星学习通要担何责? 

中国电子技术标准化研究院信息安全研究中心审查部总监、3·15信息安全实验室专家何延哲对记者说:“平台承担责任的前提,首先是落实数据泄露渠道”。

何延哲表示,超星学习通方面声称已经报警,如果警方有证据证明是学习通泄密,那超星学习通就违反了个人信息保护法律法规,如果企业的安全措施没做到位导致个人信息遭受侵犯,此前又没有告知用户采取修改密码等措施降低风险等,依法就应受到处罚。

记者研究超星学习通的用户协议发现,“其他免责声明”中表示,对于因不可抗力或平台方不能预料、不能控制的原因(包括但不限于计算机病毒或黑客攻击、系统不稳定、用户不当使用账户,以及其他任何技术、互联网络、通信线路原因)产生的包括但不限于用户计算机信息和数据的安全问题,用户个人信息的安全问题等给用户或任何第三方造成的损失,平台方不承担任何责任。

“这项条款是否有效,要看平台是否尽到技术安全保障的义务。”北京云嘉律师事务所律师赵占领对记者说,“如果是因为学习通系统本身就存在漏洞导致黑客入侵,免责条款就是无效的,学习通仍然要承担相应的法律责任,赔偿用户的损失。”

为何不下架? 

在ios应用商店,不少用户在评论区吐槽、质问。“考试的时候都会截屏、要打开摄像头,很过分。”浙江海洋学院的王子新对记者说,她不明白,长期评分这么低的软件为何不被下架?这么明目张胆侵犯学生隐私的app为什么必须要用呢?



▲话题曝光后,在ios应用商店,这款本来就评分超低(1.4分,总分5分)的软件,一天之内评分更低至1.3分。

“一般来说,不会因为评分低而下架。”何延哲说,“因为评分是一个主观意愿,也存在恶意打低分的情况。而下架处理相当于商品不能出售,类似于一个行政处罚措施。但是超星学习通这个评分已经足够可以提醒用户这个软件不太好,所以在下载使用时就需要更加警惕。”

对于用户反映的超星学习通评分如此低为何还必须使用,何延哲认为,如果这个app是在某一些场景下被某个部门强推的,要求学生在教学、考试中必须下载该app,而这款app得分又比较低,其安全措施又没做好,那推广方就应该对这个app的安全进行把关。

是否涉嫌超范围收集个人信息? 

记者从超星学习通相关条款中了解到,超星学习通提供服务时,可能会收集、储存和使用用户的手机号码、个人姓名、登录账号、位置权限、基于摄像头(相机)的附加功能、基于图片上传的附加功能、基于语音技术的附加功能、查看wlan状态、读取sd卡、监听手机通话状态、悬浮窗权限、蓝牙权限、get tasks权限、设备信息、软件信息等。

这是否涉嫌超范围收集个人信息?“用户在注册时需要提供哪些个人信息,平台已经履行了告知义务并经过用户同意。”赵占领说,这种情况下,平台是否过度收集个人信息关键要看“是否违反了必要性原则”。而评估平台收集个人信息是否具有必要性,需要结合具体的产品来分析,也就是“用户不提供最基本的信息,平台就无法向其提供相应的服务”,比如导航软件要收集用户地理位置信息,购物软件要收集用户姓名、收集号码等信息。

本文来源:澎湃新闻客户端


公司规范电脑访问网络行为,保护电脑存储信息安全防止传输过程中造成的泄密问题方法:

大势至电脑文件防泄密系统(下载地址: https://www.dashizhi.com/products_technology/products/13.html)介绍:
大势至(北京)软件工程有限公司实时推出了可以有效控制电脑USB口使用、防止电脑随意使用优盘的“大势至电脑文件防泄密系统”。大势至电脑文件防泄密系统是一款适用于Windows操作系统的USB设备监控管理软件。该软件适用于企业、政府、军队、广告公司、设计单位等对信息安全性有特殊要求的机构,主要用于防止外部或内部人员有意或随意使用U盘、移动硬盘等USB移动存储设备拷贝内部机密信息而给单位带来的重大损失,达到有效保护单位商业机密的目的。

09_22_239245.jpg

2、系统功能 
系统主要提供了以下核心功能:
a、全面监控USB存储设备的使用。
 》禁止电脑连接一切USB存储设备,包括:优盘、移动硬盘、手机、平板等,不影响USB鼠标、键盘、加密狗等。》设置特定U盘,即电脑只能识别白名单列表中的U盘。同时还可以对特定U盘进行二次权限设置。
》只允许从U盘向电脑拷贝文件,禁止电脑向U盘拷贝文件,或只允许电脑向U盘拷贝文件,禁止U盘向电脑拷贝文件。
》 密码权限设置。设置从电脑向U盘、移动硬盘拷贝文件时需要输入管理员密码。
》禁用CD/DVD光驱、禁止光驱刻录功能,但是允许光驱读取、禁用软驱。
》监控USB存储设备拷贝记录。详细记录U盘拷贝电脑文件时的日志,包括拷贝时间、文件名称等。

b、全面防止网络途径泄密的行为

》禁止聊天软件泄密。设置特定QQ、允许QQ聊天但禁止传文件、禁止QQ群传文件、禁止微信传文件等。

》禁止邮箱外传文件。禁止登录一切邮箱、允许登录特定邮箱、只允许收邮件禁止发送邮件等。

》禁止网盘向外传文件。禁止使用一切网盘、云盘,也可以设置使用特定网盘、云盘等。

》程序黑白名单管理。设置禁止运行的程序列表,或者设置只允许运行的程序列表。

》网页黑白名单管理。设置禁止打开的网址名单,或者设置只允许打开的网址名单。

》禁止登录论坛、博客、贴吧、空间等,禁止使用FTP上传文件、禁止手机和电脑通过网络互传文件等。

c、操作系统底层防护
》禁用注册表、禁用设备管理器、禁用组策略、禁用计算机管理、禁用任务管理器、禁用Msconfig、禁用安全模式、禁用光盘启动电脑、禁用红外、禁用串口/并口、禁用1394、禁用PCMCIA、禁用调制解调器

》禁用U盘启动电脑、禁用DOS命令、禁用格式化和Ghost、禁止修改IP/Mac、屏蔽PrtScn、屏蔽Esc键、屏蔽剪贴板、禁止网络共享、禁止查看进程、屏蔽Win键、屏蔽Ctrl+Alt+A键、禁用Telnet、开机系统自动隐藏运行

》设置全局白名单、禁止局域网通讯、禁用虚拟机、禁止创建用户、禁用有线网卡、禁用无线网卡、禁止安装随身WIFI、禁用蓝牙、登录密码设置、软件唤出热键管理、安装目录权限管理、UAC管理、恢复管理

》禁止开机按F8进入安全模式、禁止光驱启动操作系统、禁止U盘启动操作系统、禁止PE盘启动电脑等,防止各种手段绕过系统监控的情况。
大势至电脑文件防泄密系统基于单机版和网络版两种架构,单机版安装在一台电脑上;网络版基于C/S架构,分为管理端和客户端,管理员电脑安装管理端,局域网其他电脑安装客户端。

1)单机版界面:
 


图:大势至电脑文件防泄密系统(单机版)

2)网络版界面:



图:管理端界面