近日有微博網(wǎng)友曝料稱，學(xué)習(xí)軟件超星學(xué)習(xí)通的數(shù)據(jù)庫信息疑似被公開售賣，其中疑似泄露的數(shù)據(jù)包含姓名、手機(jī)號、性別、學(xué)校、學(xué)號、郵箱等信息1.7273億條，含密碼1076萬條。

▲截至記者發(fā)稿時(shí)，“學(xué)習(xí)通”話題在微博閱讀量已超過3億次。

數(shù)據(jù)是如何被竊取的？超星學(xué)習(xí)通該擔(dān)何責(zé)？消費(fèi)者應(yīng)該如何保護(hù)個(gè)人數(shù)據(jù)隱私？記者就此采訪了相關(guān)專家。

信息是如何被泄露的？

據(jù)了解，超星學(xué)習(xí)通是在大學(xué)中普及率非常高的一款A(yù)PP。泄密事件發(fā)生后，社交媒體和應(yīng)用商店里該APP評價(jià)欄中，有大量學(xué)生表示近期有自己信息被泄露的征象。 

“從過去多起數(shù)據(jù)泄露事件來看，造成企業(yè)數(shù)據(jù)泄露的原因既可能是外部的也可能是內(nèi)部的。”奇安信數(shù)據(jù)安全專家、數(shù)據(jù)安全子公司副總經(jīng)理姚磊對記者說，“攻擊者可能利用目標(biāo)系統(tǒng)漏洞或者竊取到的特權(quán)賬戶，獲取了相應(yīng)數(shù)據(jù)庫管理員的權(quán)限，從而完成拖庫行為。”

姚磊認(rèn)為，內(nèi)部原因分兩種：第一種有可能是運(yùn)維人員的不當(dāng)操作致使數(shù)據(jù)意外泄露，第二種則是有內(nèi)鬼作祟。

奇安信集團(tuán)副總裁、創(chuàng)新BG負(fù)責(zé)人孔德亮在接受記者采訪時(shí)表示，信息泄露事件頻發(fā)，表明很多企業(yè)、機(jī)構(gòu)的數(shù)據(jù)處在“裸奔”狀態(tài)，這是數(shù)據(jù)安全當(dāng)前的首要問題，防裸奔、補(bǔ)短板迫在眉睫，包括對內(nèi)部超越權(quán)限或者高危操作的嚴(yán)格控制。

密碼加密是否就不會泄露？

此次事件中，超星學(xué)習(xí)通方面強(qiáng)調(diào)，網(wǎng)上傳言密碼泄露不實(shí)。因?yàn)樗麄儾淮鎯τ脩裘魑拿艽a，而是采取單向加密存儲，在這種技術(shù)手段下，即使公司內(nèi)部員工（包括程序員）也無法獲得密碼明文，因此“理論上用戶密碼不會泄露”。

“密碼存儲加密僅僅是對密碼在整個(gè)生命周期過程中的存儲環(huán)節(jié)進(jìn)行安全防護(hù)?！睒O盾科技CTO 鄭冬東對記者說，無論對用戶還是對平臺，密碼泄露的渠道非常多。在其他環(huán)節(jié)，比如密碼采集（即獲取用戶輸入的密碼）、傳輸、使用等環(huán)節(jié)，如果沒有相應(yīng)的防護(hù)措施，均有可能被泄露。

即便密碼可以保證不發(fā)生泄露，也無法保證其他敏感信息，比如學(xué)生證、身份證不被泄露。所以，敏感信息泄露保護(hù)不僅僅是保護(hù)密碼不被泄露。

鄭冬東認(rèn)為，對個(gè)人而言，可以使用并定期更換高復(fù)雜度的密碼、不安裝未知來源的APP、及時(shí)升級系統(tǒng)、安裝殺毒軟件等手段進(jìn)行防范。

超星學(xué)習(xí)通要擔(dān)何責(zé)?

中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心審查部總監(jiān)、3·15信息安全實(shí)驗(yàn)室專家何延哲對記者說：“平臺承擔(dān)責(zé)任的前提，首先是落實(shí)數(shù)據(jù)泄露渠道”。

何延哲表示，超星學(xué)習(xí)通方面聲稱已經(jīng)報(bào)警，如果警方有證據(jù)證明是學(xué)習(xí)通泄密，那超星學(xué)習(xí)通就違反了個(gè)人信息保護(hù)法律法規(guī)，如果企業(yè)的安全措施沒做到位導(dǎo)致個(gè)人信息遭受侵犯，此前又沒有告知用戶采取修改密碼等措施降低風(fēng)險(xiǎn)等，依法就應(yīng)受到處罰。

記者研究超星學(xué)習(xí)通的用戶協(xié)議發(fā)現(xiàn)，“其他免責(zé)聲明”中表示，對于因不可抗力或平臺方不能預(yù)料、不能控制的原因（包括但不限于計(jì)算機(jī)病毒或黑客攻擊、系統(tǒng)不穩(wěn)定、用戶不當(dāng)使用賬戶，以及其他任何技術(shù)、互聯(lián)網(wǎng)絡(luò)、通信線路原因）產(chǎn)生的包括但不限于用戶計(jì)算機(jī)信息和數(shù)據(jù)的安全問題，用戶個(gè)人信息的安全問題等給用戶或任何第三方造成的損失，平臺方不承擔(dān)任何責(zé)任。

“這項(xiàng)條款是否有效，要看平臺是否盡到技術(shù)安全保障的義務(wù)?！北本┰萍温蓭熓聞?wù)所律師趙占領(lǐng)對記者說，“如果是因?yàn)閷W(xué)習(xí)通系統(tǒng)本身就存在漏洞導(dǎo)致黑客入侵，免責(zé)條款就是無效的，學(xué)習(xí)通仍然要承擔(dān)相應(yīng)的法律責(zé)任，賠償用戶的損失?！?/p>

為何不下架?

在iOS應(yīng)用商店，不少用戶在評論區(qū)吐槽、質(zhì)問?！翱荚嚨臅r(shí)候都會截屏、要打開攝像頭，很過分。”浙江海洋學(xué)院的王子新對記者說，她不明白，長期評分這么低的軟件為何不被下架？這么明目張膽侵犯學(xué)生隱私的APP為什么必須要用呢？

▲話題曝光后，在iOS應(yīng)用商店，這款本來就評分超低（1.4分，總分5分）的軟件，一天之內(nèi)評分更低至1.3分。

“一般來說，不會因?yàn)樵u分低而下架?！焙窝诱苷f，“因?yàn)樵u分是一個(gè)主觀意愿，也存在惡意打低分的情況。而下架處理相當(dāng)于商品不能出售，類似于一個(gè)行政處罰措施。但是超星學(xué)習(xí)通這個(gè)評分已經(jīng)足夠可以提醒用戶這個(gè)軟件不太好，所以在下載使用時(shí)就需要更加警惕?！?/p>

對于用戶反映的超星學(xué)習(xí)通評分如此低為何還必須使用，何延哲認(rèn)為，如果這個(gè)APP是在某一些場景下被某個(gè)部門強(qiáng)推的，要求學(xué)生在教學(xué)、考試中必須下載該APP，而這款A(yù)PP得分又比較低，其安全措施又沒做好，那推廣方就應(yīng)該對這個(gè)APP的安全進(jìn)行把關(guān)。

是否涉嫌超范圍收集個(gè)人信息？

記者從超星學(xué)習(xí)通相關(guān)條款中了解到，超星學(xué)習(xí)通提供服務(wù)時(shí)，可能會收集、儲存和使用用戶的手機(jī)號碼、個(gè)人姓名、登錄賬號、位置權(quán)限、基于攝像頭（相機(jī)）的附加功能、基于圖片上傳的附加功能、基于語音技術(shù)的附加功能、查看WLAN狀態(tài)、讀取SD卡、監(jiān)聽手機(jī)通話狀態(tài)、懸浮窗權(quán)限、藍(lán)牙權(quán)限、GET TASKS權(quán)限、設(shè)備信息、軟件信息等。

這是否涉嫌超范圍收集個(gè)人信息？“用戶在注冊時(shí)需要提供哪些個(gè)人信息，平臺已經(jīng)履行了告知義務(wù)并經(jīng)過用戶同意?！壁w占領(lǐng)說，這種情況下，平臺是否過度收集個(gè)人信息關(guān)鍵要看“是否違反了必要性原則”。而評估平臺收集個(gè)人信息是否具有必要性，需要結(jié)合具體的產(chǎn)品來分析，也就是“用戶不提供最基本的信息，平臺就無法向其提供相應(yīng)的服務(wù)”，比如導(dǎo)航軟件要收集用戶地理位置信息，購物軟件要收集用戶姓名、收集號碼等信息。