车联网|超1.7亿条大学生数据疑似被非法售卖，网络安全专家解读背后原因万马科技|汽车

6月21日， #学习通数据库疑发生信息泄露#一事冲上微博热搜。
【车联网|超1.7亿条大学生数据疑似被非法售卖，网络安全专家解读背后原因】据多家媒体报道称，大学生学习软件超星学习通的数据库信息被公开售卖，其中泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。
资料显示，超星学习通是在大学中普及率非常高的一款App ，其功能包括网络课打卡、考试监考等。有大量学生用户在社交媒体声称，近日有外地的手机号给自己发信息、打电话。甚至有用户反映，自己前几天就接到了境外诈骗电话，对方能报出自己的身份证号、知道自己有支付宝学生认证。
针对此事，超星学习通于6月21日下午发布声明称，目前为止还未发现明确的用户信息泄露证据。鉴于事情重大，已经向公安机关报案，公安机关已经介入调查。
声明还表示，学习通不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，公司确认网上传言密码泄露是不实的。
此外，学习通对用户质疑的“使用量”数据也发表了说明。称使用量不是 \"使用学习通的次数\" ，而是用户使用学习通时向服务器发出的页面请求次数。一个学习者正常学习每天会有几百到上千使用量，学习者有几十万学习通使用量是正常现象，而不是账号泄露的表现。
“从目前公开信息来看，通常造成企业数据泄露的原因既可能是外部的也可能是内部的，当然也可能是二者皆有。 ”奇安信数据安全专家、数据安全子公司副总经理姚磊分析称，攻击者可能利用目标系统漏洞或者窃取到的特权账户，获取了相应数据库管理员的权限，从而完成拖库行为。此类事件此前也时有发生，比如领英数据泄露事件被证实为黑客利用其API漏洞所致。因此，企业应当加强数据安全防护力度，避免大量使用弱口令，对于发现的安全隐患要及时处置。
内部原因也要分为两种情况。第一种有可能是运维人员的不当操作致使数据意外泄露；第二种则是有内鬼作祟，如果其内部权限管控缺失或者行为审计有纰漏，内部员工（如数据库管理员）可以利用自身系统权限，将数据库中的数据批量下载下来，然后进行倒卖。从这个角度来看，企业应采用技术手段，加强自身内部员工的权限管理和行为审计，对于某些超越权限或者高危操作应严格控制。
近几年，用户隐私泄露事件时有发生，甚至有不法分子利用个人在网络上留存的信息进行牟利犯罪，隐私安全成了网民们高度关注的话题。 2021年以来，国家陆续颁发《数据安全法》、《个人信息保护法》，企业如违法处理个人信息将面临重罚。但对于隐私遭到泄露的个人来说，受到的伤害则是难以估量的。