學習通數(shù)據(jù)泄露事件背后 多數(shù)企業(yè)存在數(shù)據(jù)“裸奔”
2022-07-11 《中國質(zhì)量萬里行》雜志社 點擊:次
“免費wifi大量收集用戶個人信息”、“瀏覽網(wǎng)站后遭遇營銷電話騷擾”、“兒童智能手表成為偷窺‘眼睛’”,很多消費者可能在網(wǎng)上看了某個物品或輸入一個關鍵詞,很快就會收到手機App推送的相關廣告或信息。
個人信息安全問題無時不在,不經(jīng)意間就會有被“偷走”的可能。
近日以來,學習通用戶信息泄露事件再次引發(fā)了對于個信安全的討論。
今年6月21日,一家名為M78Sec安全團隊率先披露出超星學習通信息泄露,數(shù)據(jù)庫信息被公開售賣,消息一出,話題立刻成為熱搜的焦點。
超星學習通是不少在校大學生的常用學習軟件。此次被曝數(shù)據(jù)庫信息遭公開售賣,包含姓名、手機號、性別、學校、學號、郵箱等信息1億7273萬條。
超星學習通官微就此事回應表示,尚未發(fā)現(xiàn)明確的用戶信息泄露證據(jù),已經(jīng)報案,公安機關已介入調(diào)查。
網(wǎng)友在微博上曬出了使用次數(shù)
學習通這一回應并沒有讓學生感到安心,反而激發(fā)了更強烈的質(zhì)疑。因為不少學生截圖證明,學習通軟件顯示的使用數(shù)據(jù)頻率過高,動輒幾萬次到幾百萬次不等,與實際情況嚴重不符,甚至有人調(diào)侃說“我并沒有那么愛學習”。
還有多名學生表示,個人賬號登錄IP地址在境內(nèi)境外不斷切換,有同學在線上考試中出現(xiàn)本人賬號異地登錄的情況,“差點試都考不了”。
圖源:國家信息安全漏洞共享平臺
值得注意的是,國家信息安全漏洞共享平臺曾在2020年至2021年的一年間,3次披露超星學習通存在的安全漏洞問題,分別包括被XSS漏洞、信息泄露漏洞和邏輯缺陷漏洞。
此外,2021年1月,學習通APP(版本:4.8.1)曾因違規(guī)收集個人信息,被工信部通報,并要求其整改。同年7月,學習通(版本:4.8.5)因工信部檢查發(fā)現(xiàn)仍涉及違規(guī)使用個人信息未完成整改,再次被通報。
就在學習通泄露事件仍處在風波之時,6月26日晚,很多在校或是剛畢業(yè)的大學生在社交平臺上表示,自己的QQ號被盜,懷疑與此前的學習通學生信息泄露事件有關。
qq官方微博解釋
對于學習通此次泄露事件,記者也聯(lián)系了北京師范大學互聯(lián)網(wǎng)研究院院長助理、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括。
吳沈括認為,關于學習通數(shù)據(jù)泄露事件,目前還不能做出一個明確的結(jié)論,因為數(shù)據(jù)本身的追溯復原實際上是非常復雜的,所以在短期內(nèi)很難有一個明確的結(jié)論。數(shù)據(jù)泄露是數(shù)據(jù)治理當中一個非常重要的命題,也是各大企業(yè)需要持續(xù)予以關注和增強保護的一個紅線區(qū)域。發(fā)生此次事件,又給我們敲響了數(shù)據(jù)泄露可能帶來嚴重危害的警鐘。
無論是從它所帶來的危害性,對于個體公眾以及企業(yè)自身的危害性來看,還是數(shù)據(jù)泄露事件的影響的長久性來看,都具有非常突出的意義。所以從目前來看的話,這一類案件在相當長一段時間內(nèi)都是有可能持續(xù)存在的,需要有一個更全面的完善的生態(tài)性數(shù)據(jù)治理的實現(xiàn)。
網(wǎng)絡安全公司Surfshark的一項研究表明,自2004年以來美國始終是數(shù)據(jù)泄露最嚴重的國家,第二名和第三名分別是俄羅斯和中國。換而言之,美國、俄羅斯和中國是這個星球上數(shù)據(jù)泄露問題最為嚴重的三個國家。
據(jù)中國互聯(lián)網(wǎng)絡信息中心《第49次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示,截至2021年12月,有22.1%的網(wǎng)民遭遇個人信息泄露。
近年來,在媒體多次曝光的信息泄露事件中,很多企業(yè)存在數(shù)據(jù)“裸奔”的狀態(tài),企業(yè)應該如何加強對個人信息的保護?
對此,吳沈括提到,要加強數(shù)據(jù)資產(chǎn)的梳理,因為很多企業(yè)對自己所擁有的數(shù)據(jù)資產(chǎn)都是不掌握的,就更談不上能夠有全面的一個安全措施的覆蓋。與此相關的就是在技術(shù)上要持續(xù)的、實時的更新,并運用新型的具有更高可靠性的數(shù)據(jù)安全保護技術(shù)來提高自身數(shù)據(jù)安全防護水平的技術(shù)含量。
在組織管理層面,要建立有效全面的數(shù)據(jù)保護流程以及責任制度,在人員、事項、權(quán)限等三個方面實現(xiàn)全面的銜接和相互的支撐。在這個過程當中,特別是要把握數(shù)據(jù)流轉(zhuǎn)利用的可靠性和可控性,通過協(xié)議等各種方式來有效的監(jiān)督和約束上下游以及內(nèi)外部的生態(tài)合作伙伴。
此外,在個人信息保護的過程當中,要有一個要有倫理的意識,因為在目前的數(shù)據(jù)治理理念當中,安全性、合法性和倫理性是中國特有的。三維度的數(shù)據(jù)治理理念數(shù)據(jù)保護理念,所以在技術(shù)的安全性以及法律的合規(guī)性之外,還要特別注重個人信息流轉(zhuǎn)利用的倫理問題、倫理屬性,通過這樣的方式來搭建全面立體的個人信息保護生態(tài)。
近些年,各地也發(fā)生不少關于學生信息遭泄露的事件。
2020年4月,河南鄭州、陜西西安、重慶、湖北武漢、山東青島、安徽滁州等多所高校的數(shù)千名學生發(fā)現(xiàn),自己的個人信息被企業(yè)冒用以達到偷稅目的。
2021年7月,鹽城警方偵破一起公民信息販賣案件,涉及7萬條學生家長個人信息流出的源頭是機關單位內(nèi)部人員憑借職務之便,將敏感數(shù)據(jù)發(fā)送給教育培訓機構(gòu)用于營銷獲利。
個人信息保護任重道遠,不僅關乎人民群眾利益,還涉及全社會信息安全。
2021年11月,《中華人民共和國個人信息保護法》正式實施,明確了國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)個人信息保護和相關監(jiān)督管理工作。
今年,工信部也在加快出臺《工信領域數(shù)據(jù)安全管理辦法》《移動互聯(lián)網(wǎng)應用程序個人信息保護管理規(guī)定》,研究制定APP收集使用個人信息、車聯(lián)網(wǎng)、人工智能等重要領域數(shù)據(jù)安全標準,強化個人信息保護和數(shù)據(jù)安全監(jiān)管。
最高人民檢察院印發(fā)《關于加強刑事檢察與公益訴訟檢察銜接協(xié)作嚴厲打擊電信網(wǎng)絡犯罪加強個人信息司法保護的通知》,要深入開展依法打擊行業(yè)“內(nèi)鬼”泄露公民個人信息違法犯罪工作,聚焦重點行業(yè)、重點領域、重點群體開展監(jiān)督辦案。
前不久,北京市市場監(jiān)管局發(fā)布《廢棄電器電子產(chǎn)品回收規(guī)范》征求意見稿,要求回收廢舊手機等涉及個人隱私的電子產(chǎn)品時,回收經(jīng)營者應當面清理用戶個人信息,且不得向第三方透露客戶相關信息。深圳發(fā)布并實施《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》,對APP“不全面授權(quán)就不讓用”、大數(shù)據(jù)“殺熟”、過度收集個人信息等行為給予重罰。
相信這些嘗試和努力,有益于在新形勢下破解數(shù)據(jù)泄露難點,值得參考和借鑒。
掃碼投訴
京公網(wǎng)安備11010502034432號