学习通数据泄露事件背后 多数企业存在数据“裸奔”

学习通数据泄露事件背后 多数企业存在数据“裸奔”
2022年07月11日 21:19 独角山西

“免费wifi大量收集用户个人信息”、“浏览网站后遭遇营销电话骚扰”、“儿童智能手表成为偷窥‘眼睛’”,很多消费者可能在网上看了某个物品或输入一个关键词,很快就会收到手机App推送的相关广告或信息。

个人信息安全问题无时不在,不经意间就会有被“偷走”的可能。

近日以来,学习通用户信息泄露事件再次引发了对于个信安全的讨论。

今年6月21日,一家名为M78Sec安全团队率先披露出超星学习通信息泄露,数据库信息被公开售卖,消息一出,话题立刻成为热搜的焦点。

超星学习通是不少在校大学生的常用学习软件。此次被曝数据库信息遭公开售卖,包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。

超星学习通官微就此事回应表示,尚未发现明确的用户信息泄露证据,已经报案,公安机关已介入调查。

网友在微博上晒出了使用次数

学习通这一回应并没有让学生感到安心,反而激发了更强烈的质疑。因为不少学生截图证明,学习通软件显示的使用数据频率过高,动辄几万次到几百万次不等,与实际情况严重不符,甚至有人调侃说“我并没有那么爱学习”。

还有多名学生表示,个人账号登录IP地址在境内境外不断切换,有同学在线上考试中出现本人账号异地登录的情况,“差点试都考不了”。

图源:国家信息安全漏洞共享平台

值得注意的是,国家信息安全漏洞共享平台曾在2020年至2021年的一年间,3次披露超星学习通存在的安全漏洞问题,分别包括被XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。

此外,2021年1月,学习通APP(版本:4.8.1)曾因违规收集个人信息,被工信部通报,并要求其整改。同年7月,学习通(版本:4.8.5)因工信部检查发现仍涉及违规使用个人信息未完成整改,再次被通报。

就在学习通泄露事件仍处在风波之时,6月26日晚,很多在校或是刚毕业的大学生在社交平台上表示,自己的QQ号被盗,怀疑与此前的学习通学生信息泄露事件有关。

qq官方微博解释

对于学习通此次泄露事件,记者也联系了北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括。

吴沈括认为,关于学习通数据泄露事件,目前还不能做出一个明确的结论,因为数据本身的追溯复原实际上是非常复杂的,所以在短期内很难有一个明确的结论。数据泄露是数据治理当中一个非常重要的命题,也是各大企业需要持续予以关注和增强保护的一个红线区域。发生此次事件,又给我们敲响了数据泄露可能带来严重危害的警钟。

无论是从它所带来的危害性,对于个体公众以及企业自身的危害性来看,还是数据泄露事件的影响的长久性来看,都具有非常突出的意义。所以从目前来看的话,这一类案件在相当长一段时间内都是有可能持续存在的,需要有一个更全面的完善的生态性数据治理的实现。

网络安全公司Surfshark的一项研究表明,自2004年以来美国始终是数据泄露最严重的国家,第二名和第三名分别是俄罗斯和中国。换而言之,美国、俄罗斯和中国是这个星球上数据泄露问题最为严重的三个国家。

据中国互联网络信息中心《第49次中国互联网络发展状况统计报告》显示,截至2021年12月,有22.1%的网民遭遇个人信息泄露。

近年来,在媒体多次曝光的信息泄露事件中,很多企业存在数据“裸奔”的状态,企业应该如何加强对个人信息的保护?

对此,吴沈括提到,要加强数据资产的梳理,因为很多企业对自己所拥有的数据资产都是不掌握的,就更谈不上能够有全面的一个安全措施的覆盖。与此相关的就是在技术上要持续的、实时的更新,并运用新型的具有更高可靠性的数据安全保护技术来提高自身数据安全防护水平的技术含量。

在组织管理层面,要建立有效全面的数据保护流程以及责任制度,在人员、事项、权限等三个方面实现全面的衔接和相互的支撑。在这个过程当中,特别是要把握数据流转利用的可靠性和可控性,通过协议等各种方式来有效的监督和约束上下游以及内外部的生态合作伙伴。

此外,在个人信息保护的过程当中,要有一个要有伦理的意识,因为在目前的数据治理理念当中,安全性、合法性和伦理性是中国特有的。三维度的数据治理理念数据保护理念,所以在技术的安全性以及法律的合规性之外,还要特别注重个人信息流转利用的伦理问题、伦理属性,通过这样的方式来搭建全面立体的个人信息保护生态。

近些年,各地也发生不少关于学生信息遭泄露的事件。

2020年4月,河南郑州、陕西西安、重庆、湖北武汉、山东青岛、安徽滁州等多所高校的数千名学生发现,自己的个人信息被企业冒用以达到偷税目的。

2021年7月,盐城警方侦破一起公民信息贩卖案件,涉及7万条学生家长个人信息流出的源头是机关单位内部人员凭借职务之便,将敏感数据发送给教育培训机构用于营销获利。

个人信息保护任重道远,不仅关乎人民群众利益,还涉及全社会信息安全。

2021年11月,《中华人民共和国个人信息保护法》正式实施,明确了国家网信部门负责统筹协调个人信息保护和相关监督管理工作。

今年,工信部也在加快出台《工信领域数据安全管理办法》《移动互联网应用程序个人信息保护管理规定》,研究制定APP收集使用个人信息、车联网、人工智能等重要领域数据安全标准,强化个人信息保护和数据安全监管。

最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》,要深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作,聚焦重点行业、重点领域、重点群体开展监督办案。

前不久,北京市市场监管局发布《废弃电器电子产品回收规范》征求意见稿,要求回收废旧手机等涉及个人隐私的电子产品时,回收经营者应当面清理用户个人信息,且不得向第三方透露客户相关信息。深圳发布并实施《深圳经济特区数据条例》,对APP“不全面授权就不让用”、大数据“杀熟”、过度收集个人信息等行为给予重罚。

相信这些尝试和努力,有益于在新形势下破解数据泄露难点,值得参考和借鉴。

《中国质量万里行》杂志社记者 罗克研

财经自媒体联盟更多自媒体作者

新浪首页 语音播报 相关新闻 返回顶部