隨著《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等落地，包含大量個人信息的教育類APP的信息安全問題備受關(guān)注，2月份，工信部就侵害用戶權(quán)益行為的APP，包括云端課堂、百詞斬、考試通、中公教育等多款教育類APP都曾因違規(guī)收集或使用個人信息、強(qiáng)制、頻繁、過度索取權(quán)限等原因被工信部通報。此前，教育部曾發(fā)文要求強(qiáng)化教育類App的網(wǎng)絡(luò)與數(shù)據(jù)安全監(jiān)管，保障用戶信息安全。



近日，“學(xué)習(xí)通”APP被曝出疑似發(fā)生用戶數(shù)據(jù)信息泄露的事件吵得沸沸揚揚。對此，小編特意了解了一下這款A(yù)PP，學(xué)習(xí)通屬于學(xué)習(xí)教育類APP，是國內(nèi)高校中普及率較高的一款A(yù)PP，用戶可在該款A(yù)PP上實現(xiàn)上課、考試等多個服務(wù)，其主要面向?qū)ο鬄楦咝熒?。截止今?0時，據(jù)移動終端顯示，安卓版與IOS版本下載量分別達(dá)1.4億次和 12萬次，整體評分偏低。

6月20日，某自媒體發(fā)文稱：“大學(xué)生學(xué)習(xí)軟件超星學(xué)習(xí)通的數(shù)據(jù)庫信息正在被黑客在非法渠道售賣，兜售的數(shù)據(jù)包含姓名、手機(jī)號、性別、學(xué)校、學(xué)號、郵箱等信息1.7273億條。”

通過調(diào)查，紅星新聞記者在一個線上聊天頻道里發(fā)現(xiàn)，有用戶疑似正在販賣相關(guān)的數(shù)據(jù)信息“學(xué)習(xí)通數(shù)據(jù)單價為10元一人，購買整個數(shù)據(jù)庫需要3000元”。 記者注意到，有頻道負(fù)責(zé)人發(fā)布了一條關(guān)于“超星學(xué)習(xí)通”泄露事件的說明。其中提到，泄露內(nèi)容包含手機(jī)號碼、郵箱、姓名及就讀信息，部分還包含年級、班級、明文密碼等信息。在該份說明附帶的泄露學(xué)校列表里，記者發(fā)現(xiàn)，疑似此次學(xué)習(xí)通數(shù)據(jù)庫泄露涉及的學(xué)校數(shù)量眾多，不僅包括全國各地的高等院校，還涉及多個幼兒園、中小學(xué)等教育機(jī)構(gòu)。

6月21日下午，對于以上消息，學(xué)習(xí)通方面在微博上發(fā)布相關(guān)聲明，稱該公司在收到“疑似學(xué)習(xí)通APP用戶數(shù)據(jù)泄露”的反饋信息后，立即組織技術(shù)排查，排查工作已經(jīng)進(jìn)行了十余個小時，到目前為止還未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)。鑒于事情重大，已經(jīng)向公安機(jī)關(guān)報案，公安機(jī)關(guān)已經(jīng)介入調(diào)查。并表示，其不存儲用戶明文密碼，采取單向加密存儲，理論上用戶密碼不會泄露，在這種技術(shù)手段下即使公司內(nèi)部員工（包括程序員）也無法獲得密碼明文。”

6月21日，自媒體發(fā)文稱“相關(guān)信息由我司相關(guān)安全研究員首發(fā)披露，介于事件正在調(diào)查過程中，為避免引發(fā)輿論過度關(guān)注，文章在昨天下午已刪除。”

小編注意到，不少學(xué)習(xí)通用戶表示，學(xué)習(xí)通App顯示的使用次數(shù)異常，當(dāng)天未登錄APP的情況下，使用次數(shù)新增高達(dá)500次，甚至有用戶的總使用次數(shù)遠(yuǎn)超119萬次。此外，還有用戶反映，自己多次接到了境外電話，對方除了能報出自己的身份證號、還知曉其支付寶的學(xué)生認(rèn)證。

對此，信安客提醒：加強(qiáng)個人信息安全意識，定期更換修改密碼，防止不法分子違規(guī)盜用；日常上網(wǎng)時仔細(xì)甄別各類網(wǎng)絡(luò)鏈接，切勿點擊來路不明的鏈接與域名奇怪的鏈接；一旦點擊鏈接要求錄入賬號、手機(jī)號、身份證號、短信驗證碼等信息務(wù)必謹(jǐn)慎對待，防止各類詐騙。

在學(xué)習(xí)通隱私政策顯示，個人（包括未成年人）需提供手機(jī)號碼注冊學(xué)習(xí)通，單位用戶則需在此基礎(chǔ)上提供個人姓名、登錄賬號（學(xué)號/工號）以便單位管理統(tǒng)計。當(dāng)用戶使用學(xué)習(xí)通中的打卡簽到、圖片上傳、超星課堂等功能時候，可能會需要開啟位置信息、攝像頭、相冊、麥克風(fēng)等訪問權(quán)限。對于網(wǎng)傳爭議較大的通過學(xué)習(xí)通考試監(jiān)考“必須要求用戶開啟麥克風(fēng)、攝像頭和實名制”的問題，隱私政策顯示，用戶可選擇授權(quán)學(xué)習(xí)通開啟設(shè)備的攝像頭（相機(jī)）或麥克風(fēng)，以實現(xiàn)信息的發(fā)布或具體識別功能。

學(xué)習(xí)通曾被通報侵害用戶權(quán)益

在國家信息安全漏洞共享平臺上，“超星學(xué)習(xí)通”APP曾被指存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。
2021年1月，工信部曾通報的一批關(guān)于侵害用戶權(quán)益行為APP中，學(xué)習(xí)通就曾因違規(guī)使用個人信息，遭工信部通報進(jìn)行整改。同年7月，學(xué)習(xí)通因工信部檢查發(fā)現(xiàn)仍違規(guī)使用個人信息未完成整改，再次被通報。

工信部、教育部出手規(guī)范教育類APP

根據(jù)2021年11月施行的《個人信息保護(hù)法》要求，個人信息處理者應(yīng)當(dāng)對其個人信息處理活動負(fù)責(zé)，并采取必要措施保障所處理的個人信息的安全。何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。未滿14歲的未成年人個人信息應(yīng)作為敏感個人信息予以嚴(yán)格保護(hù)，處理這類信息應(yīng)當(dāng)取得監(jiān)護(hù)人同意，并制定專門的個人信息處理規(guī)則。

為強(qiáng)化教育類App的網(wǎng)絡(luò)與數(shù)據(jù)安全監(jiān)管，保障用戶信息安全，2021年9月，教育部辦公廳等多部門發(fā)布《關(guān)于做好現(xiàn)有線上學(xué)科類培訓(xùn)機(jī)構(gòu)由備案改為審批工作的通知》（下稱《通知》）。對于教育移動互聯(lián)網(wǎng)應(yīng)用程序（教育APP）的管理，《通知》要求教育移動應(yīng)用提供者應(yīng)當(dāng)建立覆蓋個人信息收集、儲存、傳輸、使用等環(huán)節(jié)的數(shù)據(jù)保障機(jī)制，儲存100萬人以上個人信息的線上校外培訓(xùn)APP，應(yīng)通過個人信息保護(hù)影響評估、認(rèn)證或合規(guī)審計。

信安客再次提醒：日常生活或工作中，請加強(qiáng)個人信息安全意識，定期更換修改密碼，防止不法分子違規(guī)盜用；日常上網(wǎng)時仔細(xì)甄別各類網(wǎng)絡(luò)鏈接，切勿點擊來路不明的鏈接與域名奇怪的鏈接；一旦點擊鏈接要求錄入賬號、手機(jī)號、身份證號、短信驗證碼等信息務(wù)必謹(jǐn)慎對待，防止各類詐騙。