學習通數據泄露事件背后 多數企業存在數據“裸奔”
2022-07-11 《中國質量萬里行》雜志社 點擊:次
“免費wifi大量收集用戶個人信息”、“瀏覽網站后遭遇營銷電話騷擾”、“兒童智能手表成為偷窺‘眼睛’”,很多消費者可能在網上看了某個物品或輸入一個關鍵詞,很快就會收到手機App推送的相關廣告或信息。
個人信息安全問題無時不在,不經意間就會有被“偷走”的可能。
近日以來,學習通用戶信息泄露事件再次引發了對于個信安全的討論。
今年6月21日,一家名為M78Sec安全團隊率先披露出超星學習通信息泄露,數據庫信息被公開售賣,消息一出,話題立刻成為熱搜的焦點。
超星學習通是不少在校大學生的常用學習軟件。此次被曝數據庫信息遭公開售賣,包含姓名、手機號、性別、學校、學號、郵箱等信息1億7273萬條。
超星學習通官微就此事回應表示,尚未發現明確的用戶信息泄露證據,已經報案,公安機關已介入調查。
網友在微博上曬出了使用次數
學習通這一回應并沒有讓學生感到安心,反而激發了更強烈的質疑。因為不少學生截圖證明,學習通軟件顯示的使用數據頻率過高,動輒幾萬次到幾百萬次不等,與實際情況嚴重不符,甚至有人調侃說“我并沒有那么愛學習”。
還有多名學生表示,個人賬號登錄IP地址在境內境外不斷切換,有同學在線上考試中出現本人賬號異地登錄的情況,“差點試都考不了”。
圖源:國家信息安全漏洞共享平臺
值得注意的是,國家信息安全漏洞共享平臺曾在2020年至2021年的一年間,3次披露超星學習通存在的安全漏洞問題,分別包括被XSS漏洞、信息泄露漏洞和邏輯缺陷漏洞。
此外,2021年1月,學習通APP(版本:4.8.1)曾因違規收集個人信息,被工信部通報,并要求其整改。同年7月,學習通(版本:4.8.5)因工信部檢查發現仍涉及違規使用個人信息未完成整改,再次被通報。
就在學習通泄露事件仍處在風波之時,6月26日晚,很多在校或是剛畢業的大學生在社交平臺上表示,自己的QQ號被盜,懷疑與此前的學習通學生信息泄露事件有關。
qq官方微博解釋
對于學習通此次泄露事件,記者也聯系了北京師范大學互聯網研究院院長助理、中國互聯網協會研究中心副主任吳沈括。
吳沈括認為,關于學習通數據泄露事件,目前還不能做出一個明確的結論,因為數據本身的追溯復原實際上是非常復雜的,所以在短期內很難有一個明確的結論。數據泄露是數據治理當中一個非常重要的命題,也是各大企業需要持續予以關注和增強保護的一個紅線區域。發生此次事件,又給我們敲響了數據泄露可能帶來嚴重危害的警鐘。
無論是從它所帶來的危害性,對于個體公眾以及企業自身的危害性來看,還是數據泄露事件的影響的長久性來看,都具有非常突出的意義。所以從目前來看的話,這一類案件在相當長一段時間內都是有可能持續存在的,需要有一個更全面的完善的生態性數據治理的實現。
網絡安全公司Surfshark的一項研究表明,自2004年以來美國始終是數據泄露最嚴重的國家,第二名和第三名分別是俄羅斯和中國。換而言之,美國、俄羅斯和中國是這個星球上數據泄露問題最為嚴重的三個國家。
據中國互聯網絡信息中心《第49次中國互聯網絡發展狀況統計報告》顯示,截至2021年12月,有22.1%的網民遭遇個人信息泄露。
近年來,在媒體多次曝光的信息泄露事件中,很多企業存在數據“裸奔”的狀態,企業應該如何加強對個人信息的保護?
對此,吳沈括提到,要加強數據資產的梳理,因為很多企業對自己所擁有的數據資產都是不掌握的,就更談不上能夠有全面的一個安全措施的覆蓋。與此相關的就是在技術上要持續的、實時的更新,并運用新型的具有更高可靠性的數據安全保護技術來提高自身數據安全防護水平的技術含量。
在組織管理層面,要建立有效全面的數據保護流程以及責任制度,在人員、事項、權限等三個方面實現全面的銜接和相互的支撐。在這個過程當中,特別是要把握數據流轉利用的可靠性和可控性,通過協議等各種方式來有效的監督和約束上下游以及內外部的生態合作伙伴。
此外,在個人信息保護的過程當中,要有一個要有倫理的意識,因為在目前的數據治理理念當中,安全性、合法性和倫理性是中國特有的。三維度的數據治理理念數據保護理念,所以在技術的安全性以及法律的合規性之外,還要特別注重個人信息流轉利用的倫理問題、倫理屬性,通過這樣的方式來搭建全面立體的個人信息保護生態。
近些年,各地也發生不少關于學生信息遭泄露的事件。
2020年4月,河南鄭州、陜西西安、重慶、湖北武漢、山東青島、安徽滁州等多所高校的數千名學生發現,自己的個人信息被企業冒用以達到偷稅目的。
2021年7月,鹽城警方偵破一起公民信息販賣案件,涉及7萬條學生家長個人信息流出的源頭是機關單位內部人員憑借職務之便,將敏感數據發送給教育培訓機構用于營銷獲利。
個人信息保護任重道遠,不僅關乎人民群眾利益,還涉及全社會信息安全。
2021年11月,《中華人民共和國個人信息保護法》正式實施,明確了國家網信部門負責統籌協調個人信息保護和相關監督管理工作。
今年,工信部也在加快出臺《工信領域數據安全管理辦法》《移動互聯網應用程序個人信息保護管理規定》,研究制定APP收集使用個人信息、車聯網、人工智能等重要領域數據安全標準,強化個人信息保護和數據安全監管。
最高人民檢察院印發《關于加強刑事檢察與公益訴訟檢察銜接協作嚴厲打擊電信網絡犯罪加強個人信息司法保護的通知》,要深入開展依法打擊行業“內鬼”泄露公民個人信息違法犯罪工作,聚焦重點行業、重點領域、重點群體開展監督辦案。
前不久,北京市市場監管局發布《廢棄電器電子產品回收規范》征求意見稿,要求回收廢舊手機等涉及個人隱私的電子產品時,回收經營者應當面清理用戶個人信息,且不得向第三方透露客戶相關信息。深圳發布并實施《深圳經濟特區數據條例》,對APP“不全面授權就不讓用”、大數據“殺熟”、過度收集個人信息等行為給予重罰。
相信這些嘗試和努力,有益于在新形勢下破解數據泄露難點,值得參考和借鑒。
掃碼投訴
京公網安備11010502034432號