媒体六问“学习通数据疑泄露”:如何被窃取?平台要担何责?

来源:岁月联盟 编辑:猪蛋儿 时间:2022-07-04

访问:

阿里云“无影云电脑” 支持企业快速实现居家办公

来源:中国消费者报

▲截至记者发稿时,“学习通”话题在微博阅读量已超过3亿次。

▲截至记者发稿时,“学习通”话题在微博阅读量已超过3亿次。

数据是如何被窃取的?超星学习通该担何责?消费者应该如何保护个人数据隐私?记者就此采访了相关专家。

信息是如何被泄露的?

据了解,超星学习通是在大学中普及率非常高的一款APP。泄密事件发生后,社交媒体和应用商店里该APP评价栏中,有大量学生表示近期有自己信息被泄露的征象。

“从过去多起数据泄露事件来看,造成企业数据泄露的原因既可能是外部的也可能是内部的。”奇安信数据安全专家、数据安全子公司副总经理姚磊对记者说,“攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。”

姚磊认为,内部原因分两种:第一种有可能是运维人员的不当操作致使数据意外泄露,第二种则是有内鬼作祟。

奇安信集团副总裁、创新BG负责人孔德亮在接受记者采访时表示,信息泄露事件频发,表明很多企业、机构的数据处在“裸奔”状态,这是数据安全当前的首要问题,防裸奔、补短板迫在眉睫,包括对内部超越权限或者高危操作的严格控制。

密码加密是否就不会泄露?

此次事件中,超星学习通方面强调,网上传言密码泄露不实。因为他们不存储用户明文密码,而是采取单向加密存储,在这种技术手段下,即使公司内部员工(包括程序员)也无法获得密码明文,因此“理论上用户密码不会泄露”。

“密码存储加密仅仅是对密码在整个生命周期过程中的存储环节进行安全防护。”极盾科技CTO 郑冬东对记者说,无论对用户还是对平台,密码泄露的渠道非常多。在其他环节,比如密码采集(即获取用户输入的密码)、传输、使用等环节,如果没有相应的防护措施,均有可能被泄露。

即便密码可以保证不发生泄露,也无法保证其他敏感信息,比如学生证、身份证不被泄露。所以,敏感信息泄露保护不仅仅是保护密码不被泄露。

郑冬东认为,对个人而言,可以使用并定期更换高复杂度的密码、不安装未知来源的APP、及时升级系统、安装杀毒软件等手段进行防范。

超星学习通要担何责?

中国电子技术标准化研究院信息安全研究中心审查部总监、3