此次事件中,超星学习通方面强调,网上传言密码泄露不实。因为他们不存储用户明文密码,而是采取单向加密存储,在这种技术手段下,即使公司内部员工(包括程序员)也无法获得密码明文,因此“理论上用户密码不会泄露”。
“密码存储加密仅仅是对密码在整个生命周期过程中的存储环节进行安全防护。”极盾科技CTO郑冬东对《中国消费者报》记者说,无论对用户还是对平台,密码泄露的渠道非常多。“在其他环节,比如密码采集(即获取用户输入的密码)、传输、使用等环节,如果没有相应的防护措施,均有可能被泄露。例如,如果App被植入了木马,在密码采集环节,用户输入的密码就会被木马窃取。再比如在密码传输环节,虽然通信渠道进行了加密,但密码自身没有被加密,进入后端系统之后,通信内容有可能会被解密。在这个环节,如果后端系统遭到攻击、内部有人员编写后门代码,甚至普通开发无意中打印通信内容日志等,密码就会被泄露出去。”郑冬东说。
郑冬东认为,这种问题并不是个例,大家普遍认为对存储在数据库或者硬盘中的数据加密,就能一劳永逸地保证数据的安全,但其实存储加密仅仅是数据安全防护中的一环。密码只是众多敏感信息中的一种。即便密码可以保证不发生泄露,也无法保证其他敏感信息,比如学生证、身份证不被泄露。所以,敏感信息泄露保护不仅仅是保护密码不被泄露。
信息泄漏有内外两种原因
“从过去多起数据泄露事件来看,造成企业数据泄露的原因既可能是外部的也可能是内部的。”奇安信数据安全专家、数据安全子公司副总经理姚磊对《中国消费者报》记者说,“攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。比如领英数据泄露事件,就被证实为黑客利用其API漏洞所致。”
姚磊认为,内部原因分两种:第一种有可能是运维人员的不当操作致使数据意外泄露,第二种则是有内鬼作祟,如果其内部权限管控缺失或者行为审计有纰漏,内部员工(如数据库管理员)可以利用自身系统权限,将数据库中的数据批量下载下来,然后进行倒卖。因此,企业应当加强数据安全防护力度,避免大量使用弱口令,对于发现的安全隐患要及时处置。
奇安信集团副总裁、创新BG负责人孔德亮在接受《中国消费者报》记者采访时表示,信息泄露事件频发,表明很多企业、机构的数据处在“裸奔”状态,这是数据安全当前的首要问题,防裸奔、补短板迫在眉睫,包括对内部超越权限或者高危操作的严格控制。
平台承担何种责任
“平台承担责任的前提,首先是落实数据泄露渠道。”中国电子技术标准化研究院信息安全研究中心审查部总监、315信息安全实验室专家何延哲对《中国消费者报》记者说,“泄露流转的数据挺多,不好判断是如何造成的泄漏,或者泄露的主体是谁。比如在此事例中,手机号、姓名、身份证号是通用数据,很多平台都收集。因此,在落实法律责任之前,一定要确认平台是否为信息泄露方。但本次事例中有个特殊性,即学号,这就有很大可能是学习通泄露的。”
何延哲表示,超星学习通方面声称已经报警,如果警方有证据证明是学习通泄密,那超星学习通就违反了个人信息保护法律法规,如果企业的安全措施没做到位导致个人信息遭受侵犯,此前又没有告知用户采取修改密码等措施降低风险等,依法就应受到处罚。
“这项条款是否有效,要看平台是否尽到技术安全保障的义务。”北京云嘉律师事务所律师赵占领对《中国消费者报》记者说,“如果是因为学习通系统本身就存在漏洞导致黑客入侵,免责条款就是无效的,学习通仍然要承担相应的法律责任,赔偿用户的损失。”
网友质疑为何不下架
记者看到,超星学习通App目前在iOS应用商店的评分已经低至1.3。由于系统默认“对您有用的评价”排序为星级从高到低,也就是说如果评分过低,评价内容可能排到几十上百页之后,很难被看到。因此,为了让自己的负面评价排到前面被后来的用户看到,不少用户选择了给5星评分,而评价内容全部是负面的。
从用户吐槽的内容看,超星学习通不仅此次泄露了用户信息,而且存在超范围收集个人隐私信息、强制在学习中使用等情况,因此,被用户诟病不是一天两天了。
“考试的时候都会截屏、要打开摄像头,很过分。”浙江海洋学院的王子新对记者说,她不明白,长期评分这么低的软件为何不被下架?这么明目张胆侵犯学生隐私的App为什么必须要用呢?
“一般来说,不会因为评分低而下架。”何延哲说,“因为评分是一个主观意愿,也存在恶意打低分的情况。而下架处理相当于商品不能出售,类似于一个行政处罚措施。但是超星学习通这个评分已经足够可以提醒用户这个软件不太好,所以在下载使用时就需要更加警惕。”
对于用户反映的超星学习通评分如此低为何还必须使用,何延哲认为,如果这个App是在某一些场景下被某个部门强推的,要求学生在教学、考试中必须下载该App,而这款App得分又比较低,其安全措施又没做好,那推广方就应该对这个App的安全进行把关。
这是否涉嫌超范围收集个人信息?“用户在注册时需要提供哪些个人信息,平台已经履行了告知义务并经过用户同意。”赵占领说,这种情况下,平台是否过度收集个人信息关键要看“是否违反了必要性原则”。而评估平台收集个人信息是否具有必要性,需要结合具体的产品来分析,也就是“用户不提供最基本的信息,平台就无法向其提供相应的服务”,比如导航软件要收集用户地理位置信息,购物软件要收集用户姓名、收集号码等信息。