隨著《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等落地，包含大量個(gè)人信息的教育類(lèi)APP的信息安全問(wèn)題備受關(guān)注，2月份，工信部就侵害用戶(hù)權(quán)益行為的APP，包括云端課堂、百詞斬、考試通、中公教育等多款教育類(lèi)APP都曾因違規(guī)收集或使用個(gè)人信息、強(qiáng)制、頻繁、過(guò)度索取權(quán)限等原因被工信部通報(bào)。此前，教育部曾發(fā)文要求強(qiáng)化教育類(lèi)App的網(wǎng)絡(luò)與數(shù)據(jù)安全監(jiān)管，保障用戶(hù)信息安全。



近日，“學(xué)習(xí)通”APP被曝出疑似發(fā)生用戶(hù)數(shù)據(jù)信息泄露的事件吵得沸沸揚(yáng)揚(yáng)。對(duì)此，小編特意了解了一下這款A(yù)PP，學(xué)習(xí)通屬于學(xué)習(xí)教育類(lèi)APP，是國(guó)內(nèi)高校中普及率較高的一款A(yù)PP，用戶(hù)可在該款A(yù)PP上實(shí)現(xiàn)上課、考試等多個(gè)服務(wù)，其主要面向?qū)ο鬄楦咝熒＝刂菇袢?0時(shí)，據(jù)移動(dòng)終端顯示，安卓版與IOS版本下載量分別達(dá)1.4億次和 12萬(wàn)次，整體評(píng)分偏低。

6月20日，某自媒體發(fā)文稱(chēng)：“大學(xué)生學(xué)習(xí)軟件超星學(xué)習(xí)通的數(shù)據(jù)庫(kù)信息正在被黑客在非法渠道售賣(mài)，兜售的數(shù)據(jù)包含姓名、手機(jī)號(hào)、性別、學(xué)校、學(xué)號(hào)、郵箱等信息1.7273億條。”

通過(guò)調(diào)查，紅星新聞?dòng)浾咴谝粋€(gè)線上聊天頻道里發(fā)現(xiàn)，有用戶(hù)疑似正在販賣(mài)相關(guān)的數(shù)據(jù)信息“學(xué)習(xí)通數(shù)據(jù)單價(jià)為10元一人，購(gòu)買(mǎi)整個(gè)數(shù)據(jù)庫(kù)需要3000元”。 記者注意到，有頻道負(fù)責(zé)人發(fā)布了一條關(guān)于“超星學(xué)習(xí)通”泄露事件的說(shuō)明。其中提到，泄露內(nèi)容包含手機(jī)號(hào)碼、郵箱、姓名及就讀信息，部分還包含年級(jí)、班級(jí)、明文密碼等信息。在該份說(shuō)明附帶的泄露學(xué)校列表里，記者發(fā)現(xiàn)，疑似此次學(xué)習(xí)通數(shù)據(jù)庫(kù)泄露涉及的學(xué)校數(shù)量眾多，不僅包括全國(guó)各地的高等院校，還涉及多個(gè)幼兒園、中小學(xué)等教育機(jī)構(gòu)。

6月21日下午，對(duì)于以上消息，學(xué)習(xí)通方面在微博上發(fā)布相關(guān)聲明，稱(chēng)該公司在收到“疑似學(xué)習(xí)通APP用戶(hù)數(shù)據(jù)泄露”的反饋信息后，立即組織技術(shù)排查，排查工作已經(jīng)進(jìn)行了十余個(gè)小時(shí)，到目前為止還未發(fā)現(xiàn)明確的用戶(hù)信息泄露證據(jù)。鑒于事情重大，已經(jīng)向公安機(jī)關(guān)報(bào)案，公安機(jī)關(guān)已經(jīng)介入調(diào)查。并表示，其不存儲(chǔ)用戶(hù)明文密碼，采取單向加密存儲(chǔ)，理論上用戶(hù)密碼不會(huì)泄露，在這種技術(shù)手段下即使公司內(nèi)部員工（包括程序員）也無(wú)法獲得密碼明文。”

6月21日，自媒體發(fā)文稱(chēng)“相關(guān)信息由我司相關(guān)安全研究員首發(fā)披露，介于事件正在調(diào)查過(guò)程中，為避免引發(fā)輿論過(guò)度關(guān)注，文章在昨天下午已刪除。”

小編注意到，不少學(xué)習(xí)通用戶(hù)表示，學(xué)習(xí)通App顯示的使用次數(shù)異常，當(dāng)天未登錄APP的情況下，使用次數(shù)新增高達(dá)500次，甚至有用戶(hù)的總使用次數(shù)遠(yuǎn)超119萬(wàn)次。此外，還有用戶(hù)反映，自己多次接到了境外電話(huà)，對(duì)方除了能報(bào)出自己的身份證號(hào)、還知曉其支付寶的學(xué)生認(rèn)證。

對(duì)此，信安客提醒：加強(qiáng)個(gè)人信息安全意識(shí)，定期更換修改密碼，防止不法分子違規(guī)盜用；日常上網(wǎng)時(shí)仔細(xì)甄別各類(lèi)網(wǎng)絡(luò)鏈接，切勿點(diǎn)擊來(lái)路不明的鏈接與域名奇怪的鏈接；一旦點(diǎn)擊鏈接要求錄入賬號(hào)、手機(jī)號(hào)、身份證號(hào)、短信驗(yàn)證碼等信息務(wù)必謹(jǐn)慎對(duì)待，防止各類(lèi)詐騙。

在學(xué)習(xí)通隱私政策顯示，個(gè)人（包括未成年人）需提供手機(jī)號(hào)碼注冊(cè)學(xué)習(xí)通，單位用戶(hù)則需在此基礎(chǔ)上提供個(gè)人姓名、登錄賬號(hào)（學(xué)號(hào)/工號(hào)）以便單位管理統(tǒng)計(jì)。當(dāng)用戶(hù)使用學(xué)習(xí)通中的打卡簽到、圖片上傳、超星課堂等功能時(shí)候，可能會(huì)需要開(kāi)啟位置信息、攝像頭、相冊(cè)、麥克風(fēng)等訪問(wèn)權(quán)限。對(duì)于網(wǎng)傳爭(zhēng)議較大的通過(guò)學(xué)習(xí)通考試監(jiān)考“必須要求用戶(hù)開(kāi)啟麥克風(fēng)、攝像頭和實(shí)名制”的問(wèn)題，隱私政策顯示，用戶(hù)可選擇授權(quán)學(xué)習(xí)通開(kāi)啟設(shè)備的攝像頭（相機(jī)）或麥克風(fēng)，以實(shí)現(xiàn)信息的發(fā)布或具體識(shí)別功能。

學(xué)習(xí)通曾被通報(bào)侵害用戶(hù)權(quán)益

在國(guó)家信息安全漏洞共享平臺(tái)上，“超星學(xué)習(xí)通”APP曾被指存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。
2021年1月，工信部曾通報(bào)的一批關(guān)于侵害用戶(hù)權(quán)益行為APP中，學(xué)習(xí)通就曾因違規(guī)使用個(gè)人信息，遭工信部通報(bào)進(jìn)行整改。同年7月，學(xué)習(xí)通因工信部檢查發(fā)現(xiàn)仍違規(guī)使用個(gè)人信息未完成整改，再次被通報(bào)。

工信部、教育部出手規(guī)范教育類(lèi)APP

根據(jù)2021年11月施行的《個(gè)人信息保護(hù)法》要求，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息。未滿(mǎn)14歲的未成年人個(gè)人信息應(yīng)作為敏感個(gè)人信息予以嚴(yán)格保護(hù)，處理這類(lèi)信息應(yīng)當(dāng)取得監(jiān)護(hù)人同意，并制定專(zhuān)門(mén)的個(gè)人信息處理規(guī)則。

為強(qiáng)化教育類(lèi)App的網(wǎng)絡(luò)與數(shù)據(jù)安全監(jiān)管，保障用戶(hù)信息安全，2021年9月，教育部辦公廳等多部門(mén)發(fā)布《關(guān)于做好現(xiàn)有線上學(xué)科類(lèi)培訓(xùn)機(jī)構(gòu)由備案改為審批工作的通知》（下稱(chēng)《通知》）。對(duì)于教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（教育APP）的管理，《通知》要求教育移動(dòng)應(yīng)用提供者應(yīng)當(dāng)建立覆蓋個(gè)人信息收集、儲(chǔ)存、傳輸、使用等環(huán)節(jié)的數(shù)據(jù)保障機(jī)制，儲(chǔ)存100萬(wàn)人以上個(gè)人信息的線上校外培訓(xùn)APP，應(yīng)通過(guò)個(gè)人信息保護(hù)影響評(píng)估、認(rèn)證或合規(guī)審計(jì)。

信安客再次提醒：日常生活或工作中，請(qǐng)加強(qiáng)個(gè)人信息安全意識(shí)，定期更換修改密碼，防止不法分子違規(guī)盜用；日常上網(wǎng)時(shí)仔細(xì)甄別各類(lèi)網(wǎng)絡(luò)鏈接，切勿點(diǎn)擊來(lái)路不明的鏈接與域名奇怪的鏈接；一旦點(diǎn)擊鏈接要求錄入賬號(hào)、手機(jī)號(hào)、身份證號(hào)、短信驗(yàn)證碼等信息務(wù)必謹(jǐn)慎對(duì)待，防止各類(lèi)詐騙。