独家“雪通”用户数据疑似泄密 举报人：被黑可能性很大 不排除知情人

《科创板日报》6月22日讯（记者 黄欣怡）个人数据安全问题再次受到广泛关注。 6月21日，名为M78的安全团队微信公众号发文称，大学学习软件Superstar“学学通”的数据库信息被黑客通过非法渠道出售。 出售的数据包括姓名、手机号码、性别、学校和学号。 、邮箱等信息，数量疑似达到1.7273亿。

《科创板日报》今日独家采访了事件的披露者、北京某网络安全公司创始人邱某。 他告诉记者，由于长期监控灰黑关键词，在日常监控中，他发现有海外黑业渠道在售卖相关数据库，因为泄露的数据中包含了雪通使用的具体通讯地址。 ，所以判断自学习pass泄露的概率很高。

数据可能已被多次转售

邱同学告诉《科创版报》记者，6月18日，不明人士在境外非法渠道发布了兜售信息，但泄露时间应该早于此。

“当时数据库的价格才1300 USDT（一种虚拟货币）转usdt给别人能泄露我的信息吗，折合人民币1万元，从价格上看，应该已经转手N次了，不然不会这么便宜。”

公开资料显示，“超星学通”由北京世纪超星信息技术发展有限公司开发运营，是一款在国内高校普及率较高的APP。 其功能包括在线课堂签到和考试监考。

《科创办报》记者从中国政府采购网获悉，今年以来，公司先后中标复旦大学管理学院、北方民族大学、上海师范大学、上海立信会计学院和金融学、乐山师范学院等项目。

超星集团2021年发布的宣传片显示转usdt给别人能泄露我的信息吗，超星集团包括数字图书馆、学术检索平台、阅读器、在线教学平台、学通APP、智慧教室、智慧校园等产品和解决方案。 超过 6400 万人出生。

超星集团宣传片截图

多位大学生表示，疫情期间会用学通学习课程、签到、下载资料等，用APP参加考试。 “考试前后，都需要用相机抓拍，随意截图。” 有同学指出。

“我在各个平台的账号和密码都差不多，感觉有点慌。”一名大学生说。

邱同学告诉《科创版日报》记者，建议同学们尽快修改密码，防止撞库（尝试通过泄露的用户密码批量登录其他网站），但目前还没有很好的解决办法泄露的个人信息。

“设置密码时，建议带上特殊符号，可以大大降低被破解的风险。”

“学通”曾存在信息安全漏洞

雪通6月21日回应称，公司已收到反馈，立即组织技术调查。 到目前为止，还没有发现用户信息泄露的明确证据。 鉴于事态严重，学童已向公安机关报案，公安机关已介入调查。 M78安全团队也在其官方账号上表示。 “因事件正在调查中，为避免公众过度关注，昨天下午已删除文章。”

雪桐还表示，该应用程序不以明文形式存储用户密码，而是采用单向加密存储。 理论上，用户密码不会泄露。 在这种技术方式下，即使是内部员工（包括程序员）也无法获取到明文密码。 该公司证实，互联网上有关密码泄露的传闻不实。

对此，丘认为，“单向加密是指单向不可逆性，即只能用于加密数据，不能从结果中推导出原始数据。但是，不可逆性并不意味着不可逆。”无法破解，如果加密的数据不是很复杂的，比如简单的字母和数字的组合，也可以暴力破解。

值得注意的是，《科创板日报》在国家信息安全漏洞共享平台上发现，超星学通在2020-2021年期间暴露了XSS漏洞、信息泄露漏洞和逻辑缺陷漏​​洞。

其中，信息泄露漏洞为“超星学习App存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息”。 逻辑缺陷漏​​洞为“超星学习交流应用系统平台存在逻辑缺陷漏​​洞，攻击者可利用该漏洞导致任意用户账号登录并泄露用户信息”。

根据平台公告，2020年信息泄露漏洞公布后，学通暂未提供修复方案。

对于数据泄露的原因，邱某认为，雪通被黑客攻击的可能性非常大，当然也不完全排除内部人员的可能。

另一名自称学通校园平台业务线前员工在社交平台上表示，曾多次向北京和武汉提出整改建议，涉及用户隐私和业务数据安全、身份权限机制设计、API接口管理、产品安全等合规资质认证。 建议，没有回应。

律师：平台未履行个人信息保护义务应追究责任

天眼查App显示，学通所属的北京世纪超星信息技术发展有限公司注册资本3000万元，法定代表人傅国明，持股60%和40%的股份由阙某持有分别为超和世超。 公司涉及自营风险5000余项，在天眼查风险等级中列为高风险。

北京市清律律师事务所律师熊定忠认为，这样一家持有大量敏感数据的公司，对安全级别的保护措施有特定的要求，对发生泄露后的响应速度和方式也有要求。

“如果平台做了，那就不存在公法责任，需要根据与用户的约定承担民事责任，如果不做，则可能要承担相应的行政甚至刑事责任。”

汇业律师事务所律师史宇航表示，对于平台来说，首先有义务防止个人信息泄露。 平台收集的个人信息如发生泄露，可能被要求承担未履行法律规定的个人信息保护义务的法律责任。 责任包括警告、责令改正、最高年营业额5%或5000万元的罚款等，平台负责人和直接责任人员可能还需要承担个人责任。

邱某则向记者强调，企业不能把网络安全当成一句空话。 “当黑客行为被揭露时，再修复它已经太迟了。”

财联社特约评论员许文山认为，无论最终结果如何，此次事件对学雪通的影响已经是事实。 企业现在需要做的是尽快查明数据异常的原因，以及自己的数据库信息是否可能泄露。 如果自身技术实力无法验证问题根源，则应寻求权威第三方的支持。 只有确凿准确的证据才能让用户信服，否则只是一句“理论上不会泄露”，很难让外界信服。