1.7亿条学生信息遭泄露?谁在贩卖你的信息?

日期:06-23

来源:国是直通车

近日,大学生学习软件App“学习通”数据库疑似发生泄露,引发关注。

1.7亿条学生信息遭泄露?谁在贩卖你的信息?

6月20日晚一微博网友爆料称,此次泄露信息包含学校、姓名、手机号、学号、性别、邮箱等1.7亿条。多家媒体随后跟进报道,并发现有用户疑似正在贩卖相关的数据信息“学习通数据单价为10元一人,购买整个数据库需要3000元”。

学习通官方微博随后发布声明称,不会存储用户明文密码,理论上用户密码不会泄露,网传密码泄露信息是不实的。已经向公安机关报案,公安机关已经介入调查。

1.7亿条学生信息遭泄露?谁在贩卖你的信息?

目前事件还在调查中,真相尚未可知。但消息曝出后,不少大学生表示自己的账号存在使用频次异常、莫名添加关注、接到骚扰电话等情况。对此,学习通尚未予以解释。

信息泄露背后的用户焦虑

近年来,用户个人信息泄露事件时有发生。

公安部年初公布了2021年侵犯公民个人信息犯罪十大典型案例,其中数字令人心惊:

譬如,犯罪嫌疑人何某利用为相关单位、企业建设信息系统之机,非法获取医疗、出行、快递等公民个人信息数十亿条;

武汉某公司工作人员徐某等人,利用李某编写的多款外挂程序,通过系统接口漏洞,窃取酒店、燃气、医疗健康等33个网站后台公民个人信息3000余万条用于债务催收;

犯罪嫌疑人吴某成立多家健康咨询公司,通过网上购买、交换有保健品购买记录的老年人信息200余万条;

……

此次“学习通”疑泄露用户数据事件因其涉及范围广、数据多、内容全面而备受关注。

北京科技大学在读硕士研究生郭雨(化名)是一位“学习通”的用户,他告诉中新社国是直通车,最担心存在密码互通的问题。因为“学习通”的密码就是他的常用密码,如果发生泄露,很有可能会泄露其他平台的信息,尤其是一些涉及个人财产的信息,很可能导致财产损失。

“的确可能会存在这种情况。”浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林在接受中新社国是直通车采访时指出,用户数据泄露会导致信息诈骗,隐私信息会被贩卖,而有人会利用用户的密码信息去撞库(注:黑客通过收集互联网已泄露的用户密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户),去了解用户其他应用上的账户,从而破解用户密码,甚至掠夺用户财富。

但即使知道有风险,很多人也不会修改其他平台账号密码来规避风险。郭雨表示:“毕竟其他平台账号太多,如果一一更改的话,一则可能会记不住,二则改起来也太麻烦了。”

西北大学在读硕士研究生梁北北(化名)也存在同样担忧,“出了这样的事,密码又高度统一,很担心会被盗”。

对于根据不同平台来设置账户密码的方式,盘和林提醒,如果经查属实,修改其他平台账户密码一定是必要的。数据泄露要看程度,如此完整的数据泄露后果非常严重。用已知密码去探知用户其他账户并非难事,不要存侥幸心理。

个人信息泄露到底是谁的“锅”?

随着互联网的普及,万物互联的实现在一定程度上加深了人与人、人与物之间的联接和信息共享。在人们享受信息时代红利的同时,背后的隐忧也不容忽视。

此次“学习通”事件,盘和林认为,市面上大多数软件多多少少存在一些信息安全隐患,但具备较高安全信用等级的“学习通”如果发生泄露是不应该的。

盘和林还表示,用户个人信息泄露的情况时有发生,这是相关平台没有重视数据信息安全保护的缘故。一般发生这种情况还是平时数据安全意识淡薄,比如通过数据库漏扫(数据库安全评估系统)、加密、防火墙、脱敏(对某些敏感信息通过脱敏规则进行数据的变形)等技术手段,都可以在一定程度上防止信息泄露。

“这里尤其无法容忍的一点是,有些用户删除了个人信息,结果这次还是被泄露了,说明平台没有履行数据删除责任。”

保护信息安全,还需“做减法”

2021年11月1日,《中华人民共和国个人信息保护法》正式实施。其中将个人信息定义为:以电子或其他方式记录的与已识别或者可识别的自然人有关信息,不包括匿名化处理后的信息。根据这一定义,用户的姓名、出生日期、家庭住址、身份证号码、电话号码、电子邮件、银行账户、面部信息等都是受到法律保护的,第三方平台有责任也有义务保护用户个人信息不受侵犯。

而这些恰巧也是网络空间中人们被强制需要上传的个人信息。在各类手机App中,不仅需要上传个人基本信息,还要进行实名认证,甚至需要进行面部识别,绑定电话号码、电子邮箱和银行卡等操作,个人与平台的捆绑十分紧密。

用户个人信息泄露案件频发,恰恰从侧面表示在当前技术水平之下,部分软件平台并没有能力做到对用户个人信息的绝对保护。想要从根本上减少此类事件的发生,保护用户个人信息不受侵犯,专家认为根本在于“做减法”。

盘和林认为,平台收集用户信息不应该是全面的信息,并且需要通过技术手段对信息进行脱敏存储。如此一来,至少可以在一定程度上增强数据的安全性。

“实名认证其实可以由统一平台来实施,比如公安实名认证系统,而在软件服务器只需要存储用户名信息即可。”盘和林认为,实名注册制应该遵循“信息最小化”原则,不应该面面俱到,尤其是很多信息其实和用户使用App根本没有关系,不上传此类信息也不影响软件的使用,用户没有必要向平台提供如此多的个人信息。

盘和林表示,《中华人民共和国个人信息保护法》其实注意到了“信息最小化”收集的总原则,但在具体实施中,需要通过细则和具体案例解释来规范数据信息管理行为。

环球时报评“丹东袭警案”:用更多事实化解争议 南方多省出现反季节流感,流感疫苗够不够?