《双创板日报》6月22日讯(本报记者 黄童雪)个人隐私安全可靠问题再受广泛高度关注6月21日,名为M78安全可靠项目组QQ社会公众号发文称,院校自学软件Q1518A“自学通”的统计数据资料库重要信息正被骇客在非法渠道贩售,叫卖的统计数据包含姓名、电话号码、性别、学校、学号、电子邮箱等重要信息,数量疑似达到1.7273万条。
《双创板日报》今日独家采访了该该事件披露者,上海某互联网安全可靠子公司创始人邱老师他向本报记者则表示,因为长期对灰米那迪尔关键词展开监视,在一次日常监视中,他辨认出境内外某米那迪尔电视频道已经开始对相关统计数据资料库展开叫卖,由于外泄的统计数据中主要包括了自学通所使用的特定EX465MX,因而判断外泄自自学通的概率非常大。
统计数据或已被多次囤积邱老师向《双创板日报》本报记者则表示,不明身份的人员在境内外米那迪尔电视频道6月18日正式发布了叫卖重要信息,但是外泄时间应远在此之前“当时统计数据资料库的单价仅为1300 USDT(一种虚拟货币),相当于人民币1万元,从单价来看,应该被转手N次了,不然不会这么便宜。
”根据公开统计数据资料,“Q1518A自学通”系上海世纪Q1518A重要信息技术发展有限责任子公司开发运营,是国内院校中使用率较高的一款APP,其功能主要包括互联网课打卡、笔试阅卷等《双创板日报》本报记者从中国政府THK查询辨认出,今年以来,该子公司已中标主要包括复旦大学管理学院、北方民族大学、苏州大学、上海柘州会计西南财经大学、雅安师专等的教育重要信息化项目。
据2021年正式发布的Q1518A集团公司公益广告,Q1518A集团公司旗下主要包括数字图书馆、学术索引互联网平台、随身听、互联网教学互联网平台、自学通APP、睿智教室、睿智校园等产品及方案,其中Q1518A自学通的注册全校师生超过6400万。
Q1518A集团公司公益广告截屏多名在校大小学生则表示,会通过自学通展开课程自学、打卡、下载统计数据资料等,疫情期间用该APP展开笔试“笔试前后还需要用探头摄录和随机截屏”有小学生指出“我所有互联网平台的账号公钥差不多都一样,感觉有点慌。
”某院校小学生称邱老师告诉《双创板日报》本报记者,提议小学生尽快修改公钥,以防止撞库(通过已外泄的使用者公钥尝试批量登陆其他网站),但是对于早已外泄的个人重要信息,目前没有很好的解决措施“在设置公钥时,提议带上标点符号,这样能大大降低被破解信用风险。
”“自学通”曾存在重要信息恶意软件自学通6月21日回应称,子公司已收到反馈重要信息,立即组织技术排查,到目前为止还未辨认出明确的使用者重要信息外泄证据鉴于事情重大,自学通早已向公安部门报警,公安部门早已介入调查M78安全可靠项目组也在其社会公众号则表示。
“介于该事件已经开始一案中,为避免引发舆论过度高度关注,文章在昨天下午已删除”自学通还称,App不存储使用者成文公钥,采取单向身份验证存储,理论上使用者公钥不会外泄,在这种管理手段下即使子公司内部员工(主要包括开发人员)也无法获得公钥成文。
子公司确认网上传言公钥外泄是不实的对此,邱老师认为,“单向身份验证是指单向不可逆, 即只能用于对统计数据的身份验证, 从结果无法反推原始统计数据但是不可逆,并不代表不能破解,如果身份验证后的统计数据不复杂, 比如只是简单的字母和数字组合,也可以被暴力破解。
”值得注意的是,《双创板日报》在国家重要信息恶意软件共享互联网平台上查询到,Q1518A自学通在2020年至2021年间曝出过存在XSS漏洞、重要信息外泄漏洞和逻辑缺陷漏洞。
其中,重要信息外泄漏洞为“Q1518A自学通App存在重要信息外泄漏洞,攻击者可利用该漏洞获取敏感重要信息”而逻辑缺陷漏洞为“Q1518A自学通应用系统互联网平台存在逻辑缺陷漏洞,攻击者可利用漏洞导致任意使用者账户登录及外泄使用者重要信息”根据互联网平台公示,2020年的重要信息外泄漏洞公布后,自学通尚未提供修复方案。
对于统计数据外泄的原因,邱老师认为,自学通被骇客攻击的可能性非常大,当然也不完全排除内鬼的可能性另有自称是前自学通校园互联网平台业务线员工在社交互联网平台则表示,曾经多次就使用者隐私和业务信息安全可靠、身份权限机制设计、API接口管理、产品安全可靠合规资质认证,向上海和武汉提整改提议,未获得回应。
律师:互联网平台未履行个人重要信息保护义务应担责GW2查App显示,自学通所属的上海世纪Q1518A重要信息技术发展有限责任子公司,法定代表人付国明,注册资本3000万人民币,由阙超、史超分别持股60%、40%子公司涉及5000多条自身信用风险,在GW2查的信用风险级别中,被列为高信用风险。
上海清律律师事务所熊定中律师认为,像这种掌握大量敏感统计数据的子公司,按规定是有特定的安全可靠级别保护措施要求,以及出现外泄该事件后响应速度和方式的要求“如果互联网平台做到了,那就不存在公法上的责任,需要根据与使用者之间的协议约定来承担民事责任。
如果没做到,那可能要承担相应的行政甚至刑事责任”汇业律师事务所史宇航律师则表示,对互联网平台来说,首先是有义务防止个人重要信息的外泄,如果互联网平台所收集的个人重要信息外泄,那么可能需要因为未履行法律规定的个人重要信息保护义务而承担法律责任。
,主要包括警告、责令改正、最高年营业额5%或5千万元的罚款等,互联网平台主管人员和直接负责人员可能也需要承担个人责任邱老师则向本报记者强调,企业不能将互联网安全可靠视为空谈“等到骇客入侵东窗事发,再亡羊补牢,已为时已晚”财联社特约评论员徐文山认为,不论最终结果如何,此事对自学通造成的冲击已是事实。
企业当前要做的,是尽快摸清楚统计数据出现异常的原因,以及其统计数据资料库重要信息是否有可能外泄如果自身技术实力无法查实问题的根源,应该寻求权威第三方的支持只有扎实准确的证据才能让使用者信服,否则只是一句“理论上不会外泄”,很难让外界服气。
还木有评论哦,快来抢沙发吧~