值得一提的是,早在2021年1月,学习通APP(版本:4.8.1)曾因违规收集个人信息,被工信部通报,并要求其整改。同年7月,学习通(版本:4.8.5)因工信部检查发现仍涉及违规使用个人信息未完成整改,再次被通报。
6月22日,贝壳财经记者登录国家信息安全漏洞共享平台发现,超星学习通在2020年至2021年间分别被曝出过存在XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。其中,信息泄露漏洞主要为"超星学习通App存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息"。此外,逻辑缺陷漏洞为"超星学习通应用系统平台存在逻辑缺陷漏洞,攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。"
根据国家信息安全漏洞共享平台记录,超星学习通在漏洞公布后曾更新过补丁。
国家信息安全漏洞共享平台显示超星学习通曾存在信息泄露漏洞
数据泄露有内外因,防数据"裸奔"迫在眉睫
贝壳财经记者调查发现,尽管目前无法确认黑灰产卖家标榜的"学习通数据"是否为真,但平台上已经不乏可能被泄露的学生个人信息,并几经倒手。记者注意到,黑灰产平台中,学生数据按本科生、硕士、博士、毕业生等被分类售卖。记者随即浏览几名卖家提供的样本信息发现,一些甚至包括大学生的实习经历和中小学生的家长信息。
奇安信数据安全专家、数据安全子公司副总经理姚磊对贝壳财经记者表示,从过去多起数据泄露事件来看,通常造成企业数据泄露的原因既可能是外部的,也可能是内部的,也存在二者皆有。攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。"此类事件此前也时有发生,比如领英数据泄露事件被证实为黑客利用其API漏洞所致。因此,企业应当加强数据安全防护力度,避免大量使用弱口令,对于发现的安全隐患要及时处置。"
