saas|学习通被曝信息泄露:超 1.7 亿条隐私数据仅售卖 1.2 万元!( 二 )


不少大学生得知这则信息后都发表了自己的看法:
“全国大学生都在用吧?!!原来我们都是大冤种啊!必须有说法!!”
“这个是已经证实了不是疑似啦!1 亿多条必须判刑 , 严重侵害公民信息安全了 , 真的细思极恐!我全平台都是同样的密码…现在已经暴跳如雷了 。 ”
“这种大规模的敏感信息泄露难道不应该立案调查 , 无论是被泄露方(学习通软件) , 还是正在泄露谋利的罪犯 , 都应该被追责 , 被绳之以法 。 ”
与此同时 , 许多用户开始纷纷透露自己近期莫名接到很多骚扰电话:
“前几天就接到境外诈骗 , 能爆出我身份证号 , 知道我支付宝学生认证 。 ”
“难怪 , 今天开始就各种国外号码呼进来了 。 ”

还有许多人在仔细查看学习通之后 , 发现其使用次数多到异常:

被明码标价的用户数据一网名为“无名渗透”的用户公开留言表示 , 自己可以代查学习通的账号密码以及身份证号 。 当向其表示想要代查学习通相关信息的用户时 , 对方则表示“学习通数据单价为10元一人 , 购买整个数据库需要3000元” 。

有频道负责人发布了一条关于“超星学习通”泄露事件的说明 。 其中提到 , 泄漏内容包含手机号码、邮箱、姓名及就读信息 , 部分还包含年级、班级、明文密码等信息 。 该负责人提醒 , 该频道从未出售任何数据 , 在校学生不要试图购买或出售此数据 , 以防上当受骗 。

而在该份说明附带的泄露学校列表里 , 疑似此次学习通数据库泄露涉及的学校数量众多 , 不仅包括全国各地的高等院校 , 还涉及多个幼儿园、中小学等教育机构 。
数据泄露早已露端倪
天眼查显示 , 北京世纪超星信息技术发展有限责任公司成立于2000年1月27日 , 注册资本为3000万人民币 , 法定代表人为付国明 , 经营范围包括技术开发、技术推广、技术咨询、技术服务;销售计算机、软件及辅助设备等 。 在其客户一栏上 , 可以看到该公司近年来有上百名客户 , 多以国内各大高等院校为主 。 通过进一步查看其相关的招投标公告 , 有多个高校与其合作的项目为建设在线网络学习平台或网络教学一体化服务平台 。
   在注册学习通用户账号时 , 新用户在注册前须阅读并同意学习通的《隐私政策》和《用户协议》 。 其中 , 《隐私政策》里表示 , 学习通提供服务时 , 可能会收集、储存和使用用户的手机号码、个人姓名、登录账号(学号/工号)、位置权限、基于摄像头(相机)的附加功能、基于图片上传的附加功能、基于语音技术的附加功能、查看WLAN状态、读取SD卡、监听手机通话状态、悬浮窗权限、蓝牙权限、GET TASKS权限、设备信息、软件信息等 。
   值得注意的是 , 该《隐私政策》里表明 , 为保障学习通APP的稳定运行或实现相关功能 , 其可能会接入由第三方提供的软件开发包(SDK)实现前述目的 。 其接入的部分第三方SDK可能涉及收集用户信息 , 向用户提供服务 。 但其会评估该第三方手机信息的合法性、正当性、必要性 , 要求第三方对用户的信息采取保护措施 , 并且严格遵守相关法律法规与监管要求 。
  通过检索关键词可以发现 , 在国家信息安全漏洞共享平台上 , “超星学习通”APP曾被指存在信息泄露漏洞 , 攻击者可利用该漏洞获取敏感信息 。 且经营风险信息显示 , 该公司曾多次因违规收集、使用个人信息被信息通信管理局督促整改 。

被泄露的资料会如何?多数时候 , 网民习惯将邮箱、微博、游戏、网上支付、购物等帐号设置相同密码 , 一旦数据库被泄漏 , 所有的用户资料被公布于众 , 任何人都可以拿着密码去各个网站去尝试登录 , 对一些敏感的金融行业是致命的危害 , 对普通用户可能造成财产 , 个人隐私的损失或泄漏 。