新闻背景
据6月21日新闻报道,某大学生学习软件的数据库信息被公开售卖,其中泄露的数据包含学生的姓名、手机号、性别、学校、学号、邮箱等信息共计1亿7273万条。6月21日下午14时许,该App相关词条已冲升至微博实时热搜榜榜首。
点击查看大图
事件详情
据悉,该App是由北京某公司于2016年开发的一款集移动教学、移动学习、移动阅读、移动社交为一体的免费应用程序,同时支持PC端和移动端,是在大学生群体中普及率非常高的一款App,其功能包括网络课程打卡、考试监考等。
自2020年新冠疫情爆发以来该App也成为教育部第一批推荐的22个学习平台之一。
截至目前,该App安卓版共计1.3万人给予评分,在满分5分的情况下,其用户打分平均仅为1.1分。有多位给出一星评价的用户提到“超星学习通涉嫌过度收集隐私信息”、“不开权限无法使用,还要屏幕截屏获取信息”;为实现大学生上课与教师考试监考功能,用户“必须开麦克风、必须开摄像头、必须实名制”,甚至得出示身份证。
前提是在下载App时,其向用户承诺“未经您同意,我们不会从第三方获取、共享或向其提供您的任何信息”、“我们会采用先进的安全措施保护您的信息安全”,但事实好像未必如此。
隐私政策
撞库
不少用户表示,为方便自己记忆,他们的多平台中注册账号密码都保持一致。但为了防止撞库,对自己造成更大危害,如果你在其他平台账号应用统一密码,应立即修改!
【撞库】是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
因此,不将不同平台账号密码设成相同,在不同网络平台的账号密码设置上添加一些大写英文字母或标点符号能够有效规避撞库行为。
撞库攻击示意图
信息泄露
大量该App大学生用户在微博平台发声提到,近日已经多次收到外地的手机号给自己发信息、打电话,甚至有用户反映自己几天前接到境外诈骗电话,对方不仅能报出自己的身份证号,而且知道自己有支付宝学生认证。
事实上,早在2020年就有用户投诉该App使用时要求开启各种权限,质疑其严重侵犯个人隐私,并担忧其是否大量窃取用户信息。2021年1月和7月该App分别因“违规收集个人信息”、“违规使用个人信息”未完成整改遭工信部通报。而此次近两亿条信息泄露事件如果坐实,后果将不堪想象。
官方回应
下午15时45分,该App针对网络舆论给予回应并于其官方微博发布相关声明。该《声明》称【公司20日晚上收到“疑似用户数据泄露”的反馈信息,立即组织技术排查,目前排查工作已经进行了十余个小时,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,该公司已经向公安机关报案,公安机关已经介入调查。】
《声明》表示【其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。用户信息安全是重大问题,公司高度重视,将协助公安机关继续深入调查,全力保障用户信息和数据安全。】
官方回应
数据分析
据《2021年App个人信息使用态势分析报告》显示,近万款活跃App中共计有56.3%的App疑似存在违规收集使用个人信息的问题,平均每个App存在0.8个违规风险。其中,手机游戏类App、出行旅游App、生活购物App存在违规风险占比前三,均超过60%,成为App违规风险“重灾区”。
在有违规风险的App中,高达64.6%的App疑似存在“未经用户同意收集使用个人信息”的情况;另有26%的App疑似存在“违反必要原则、收集与其提供服务无关的个人信息”的情况;还有10%的App疑似存在“未明示收集使用个人信息的目的、方式和范围” 的情况;甚至有5.2%的App疑似存在“未经同意向他人提供个人信息”的行为。
后记
近年来,绝大多数互联网平台、应用App过度要求开启各种手机权限,否则就无法使用之举早已备受诟病。
在个人信息安全面临严重挑战之际,针对不同群体受众服务的应用软件层出不穷,精准营销也好、算法推送也罢,作为用户很无奈,因为他们必须要依靠App、通过互联网运作相关程序。笔者认为App在收集用户信息时至少应确保自己有能力保护这些数据的安全、保护数据不被侵犯与泄露。
个人信息安全的保护需要每个人提高警惕,但更需要各方面协同努力。量变到一定程度就会发生质变,当这些泄露数据积累到一定数量,其后果将不堪设想。
图源:微博、网络
四叶草安全
原文始发于微信公众号(四叶草安全):某学习软件疑似泄露近2亿条信息并公开售卖
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论