近日，一款名为“超星学习通”的软件进入公众视线。有消息称，该软件的数据库信息被公开售卖，超1.7亿条用户数据疑遭泄露。

一边收集用户信息，一边又无力保护，“学习通”是否被黑客攻击？信息安全如何保障？

信息疑遭泄露

6月21日，有消息称学生学习软件“超星学习通”的数据库信息被公开售卖，其中泄露的数据包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱等信息达1亿7273万条。

消息一经曝出便引发大量关注，“学习通”话题一度冲上热搜榜第一！

不少大学生反映自己的“超星学习通”学习账号疑似被别人使用，账户查看次数大幅增加，甚至有人的使用次数超过15万次。此外，还有不少学生反映，近期接到的诈骗电话可以准确地报出自己的姓名，身份证号以及支付宝的相关信息。

学习通是一款什么样的软件？一旦信息泄露，有多少用户面临风险？

公开资料显示，“学习通”系北京世纪超星信息技术发展有限责任公司开发运营，是该公司旗下的一款教育软件，在高校中普及率非常高，功能包括线上课程打卡、考试监考等。

另据天眼查招标信息显示，该公司有7519条招投标信息，其中的6031条中标信息，是为河南、山东、四川、重庆、安徽、江西等数十个省份或地区的大学、图书馆、政府机构等提供信息服务项目。

据学习通2021年4月发布的超星集团宣传片提到，超星集团成立于1993年，旗下包括数字图书馆、学术检索网站、阅读器、学习通APP、智慧教室等产品，其中超星学习通注册师生超过6400万。

专家质疑

如此庞大的用户群体数据信息遭泄露，是真是假?

6月21日下午，“学习通”官微发布声明称，其不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，“公司确认网上传言密码泄露是不实的。”此外还表示，收到用户数据疑似泄露的消息后，公司已连续技术排查十余小时，暂未发现明确的用户信息泄露证据，公安机关已介入调查。

对此，浙江理工大学法政学院特聘副教授、网络法研究所执行所长郭兵分析，“学习通”官方回应内容并非针对“疑似用户数据泄露”，密码信息只是用户信息的其中一种，回复实质是答非所问。

声明中提到“暂未发现明确的用户信息泄露证据”，郭兵认为，因为员工是做外部因素排查未发现问题，不排除内部问题导致用户个人信息遭泄露。如果事实如报料人所说，目前已经泄露了用户姓名、学校、手机号等能对用户形成完整画像的全方位个人信息，加之这类信息不像密码那样可修改，“其所涉及风险会非常大。”

对于学习通方面对于数据泄露事件的回应，北京汉华飞天信安科技有限公司总经理彭根表示，保管密码和数据泄露之间没有必然联系。“只要系统存在漏洞，黑客就有可能模仿用户登录过程，不需要密码也能窃取数据库的信息。”

至于密码存储方式，彭根认为没有所谓“单向加密存储”这样的说法，他猜测可能是指不可逆的方式。但他强调，这种方式如果密码强度不够，只要有足够的时间和算力，也可以被解开。

尽管学习通方面并未确认发现了用户数据泄露，但截至目前，已有多位学习通用户在网上晒出登录后的学习通页面，有的显示使用次数高达十几万次。对此，学习通方面解释称，学习通使用量不是“使用学习通的次数”，而是用户使用学习通时向服务器发出的页面请求次数，用户正常学习的话每天会有几百到上千使用量。因此，有几十万使用量“是正常现象，而不是账号泄露的表现”。然而，有阅读时间为0分钟的用户使用量也达到了上万条。

数据或已被多次倒卖

披露“学习通”数据泄露事件的M78安全团队公众号目前已将相关文章删除，且发布了一条消息称：关于某星学习通数据库疑发生信息泄露相关信息由我司相关安全研究员首发披露，介于事件正在调查过程中，为避免引发舆论过度关注，文章在昨天下午已删除。相关问题暂时不予回复，相关部门已介入调查。

《科创板日报》近日采访了该事件披露者——北京某网络安全公司创始人邱同学。他向记者表示，因为长期对灰黑产关键词进行监控，在一次日常监控中，他发现境外某黑产频道正在对相关数据库进行兜售，由于泄露的数据中包括了学习通所使用的特定通信地址，因而判断泄露自学习通的概率非常大。

邱同学向《科创板日报》记者表示，不明身份的人员6月18日在境外黑产频道发布了兜售信息，但是泄露时间应远在此之前。

截图显示，黑客发布售卖信息公开要价预付金12000元，并声称可代付。受访者供图

邱同学告诉《科创板日报》记者，建议学生尽快修改密码，以防止撞库（通过已泄露的用户密码尝试批量登陆其他网站），但是对于已经泄露的个人信息，目前没有很好的解决措施。

“在设置密码时，建议带上特殊符号，这样能大大降低被破解风险。”

“劣迹”斑斑

值得注意的是，《科创板日报》在国家信息安全漏洞共享平台上查询到，超星学习通在2020年至2021年间曝出过存在XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。其中，信息泄露漏洞为“超星学习通App存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息”。而逻辑缺陷漏洞为“超星学习通应用系统平台存在逻辑缺陷漏洞，攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。”

根据平台公示，2020年的信息泄露漏洞公布后，学习通尚未提供修复方案。

对于数据泄露的原因，邱同学认为，学习通被黑客攻击的可能性非常大，当然也不完全排除内鬼的可能性。

另有自称是前学习通校园平台业务线员工在社交平台表示，曾经多次就用户隐私和业务数据安全、身份权限机制设计、API接口管理、产品安全合规资质认证，向北京和武汉提整改建议，未获得回应。

光明网评论称，实际上，学习通是否具有妥善保护用户信息的能力，在收集索取信息方面是否越界，是有理由打一个问号的。2021年1月，学习通两次被工信部点名通报其违规收集用户信息。同年7月，由于检查未完成整改，该APP再度被工信部通报。这些“劣迹”，加重了用户对这家公司的怀疑。

企业泄露用户个人信息，要被追究哪些法律责任？

北京市隆安律师事务所上海分所合伙人曹劭运认为，尽管“学习通”《用户协议》中提到了相关免责情况，但根据《个人信息保护法》第51条规定，即使发生了计算机病毒或黑客攻击、系统不稳定等客观情况，企业应举证证明其已经采取了合理的、最优的措施确保个人信息处理活动的合规性；且企业还应当举证证明在发生泄露事件后，已采取相应的补救措施，并通知了履行个人信息保护职责的部门和个人。在企业无法完成相应的举证责任的情况下，企业仍具有一定的过错，应向用户承担侵权责任。

北京一法律师事务所律师周兆成认为，如果是公司内部员工泄露了用户个人信息，该员工将可能构成侵犯公民个人信息罪，情节严重的将处三年以下有期徒刑并且处罚金；如果情节特别严重的话，则要处三年以上七年以下有期徒刑，罚金自然也是免不了。

“当个人信息被泄露后，用户该如何维权？第一步要做的就是保留证据，保留好证据之后，向侵犯隐私的单位或个人发出警告，要求他们必须删除自己的隐私信息并且消除影响，或者我们直接起诉该侵权单位或者个人，要求其承担侵害我们隐私权的赔偿责任。”周兆成说。

综合自财联社、光明网、每日经济新闻、中国经济周刊、南方都市报、天目新闻、证券日报等

【免责声明】上游新闻客户端未标有“来源：上游新闻”或“上游新闻LOGO、水印的文字、图片、音频、视频”等稿件均为转载稿。如转载稿涉及版权等问题，请联系上游。

举报