权威刊物 重要平台 关键渠道
邮发代号 2-786
6月21日,据多家媒体报道称,大学生学习软件超星学习通的数据库信息被公开售卖,其中泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。#学习通#话题一度登上微博热搜第一。
据媒体报道,“超星学习通”系北京世纪超星信息技术发展有限责任公司开发运营,是国内高校中普及率较高的一款APP,其功能包括网络课打卡、考试监考等。但该软件曾在2021年被国家工业和信息化部信息通信管理局通报,称其涉及违规收集个人信息。有学生用户表示,很多敏感信息都会被超星学习通获取,例如为实现考试监考功能,要获取手机的麦克风、摄像头等权限,而且必须实名制。此外,在国家信息安全漏洞共享平台上,“超星学习通”APP也曾被指存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
据悉,已有大量学生用户在社交媒体声称,近日有外地的手机号给自己发信息、打电话,甚至有用户反映,自己前几天就接到了境外诈骗电话,对方能报出自己的身份证号、知道自己有支付宝学生认证。
目前,超星学习通回应称到目前为止还未发现明确的用户信息泄露证据,并表示“用户信息安全是重大问题,我公司高度重视,将协助公安机关继续深入调查,全力保障用户信息和数据安全。”
![行业 | 某学习软件疑似泄露数据1.7亿条 数据防裸奔还需管理技术两手抓]( "行业 | 某学习软件疑似泄露数据1.7亿条 数据防裸奔还需管理技术两手抓")
《个人信息保护法》《数据安全法》已于2021年正式颁布实施,《网络安全法》也实施了五年。从此次疑似数据泄露事件来看,相关法律的配套措施亟需完善,执法措施有待加强。在前不久关于《网络安全法》实施五周年的研讨会上,有专家就表示,法律的落实情况还不尽如人意,尤其是在法律责任方面,目前50万的最高罚款额度对热衷于业务先行的互联网厂商没有震慑力度,建议参考欧盟《通用数据保护条例》(GDPR)的规定,根据企业的营业额比例来进行罚款。
从技术角度来看,奇安信数据安全专家、数据安全子公司副总经理姚磊认为,通常造成企业数据泄露的原因既可能是外部的也可能是内部的,当然也可能是二者皆有。外部攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。此类事件此前也时有发生,例如一年前,知名职场社交软件领英被曝出当时最大规模数据泄露事件,超7亿用户数据被挂在暗网出售,后被证实为黑客利用其API漏洞所致。对此,企业应当加强数据安全防护力度,避免大量使用弱口令,对于发现的安全隐患要及时处置。
数据泄露的内部原因也要分为两种情况。姚磊表示,第一种有可能是运维人员的不当操作致使数据意外泄露;第二种则是有内鬼作祟,如果其内部权限管控缺失或者行为审计有纰漏,内部员工(如数据库管理员)可以利用自身系统权限,将数据库中的数据批量下载下来,然后进行倒卖。从这个角度来看,企业应采用技术手段,加强自身内部员工的权限管理和行为审计,对于某些超越权限或者高危操作应严格控制。
奇安信集团副总裁、创新BG负责人孔德亮表示,媒体多次曝出的信息泄露事件再次表明,很多企业机构的数据仍处在“裸奔”状态,这是数据安全当前的首要问题,防裸奔、补短板迫在眉睫,85%以上的客户需要从这开始。针对这种情况,可以采用奇安信保障数据安全的“五件套”,即特权账号管理、堡垒机、数据库审计、API安全卫士和数据安全态势感知,能够帮助政企机构在数据安全建设过程中的“补短板、防裸奔”期间,针对特权账号的全生命周期统一管理、访问的安全管控与审计、数据访问行为的审计、API接口的防护与态势感知建立的多维度监控,进行全方位的数据安全保障,帮助企业兼顾业务发展和安全合规。
原文始发于微信公众号(中国信息安全):行业 | 某学习软件疑似泄露数据1.7亿条 数据防裸奔还需管理技术两手抓
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/1141865.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论