近日有微博網友曝料稱，學習軟件超星學習通的數據庫信息疑似被公開售賣，其中疑似泄露的數據包含姓名、手機號、性別、學校、學號、郵箱等信息1.7273億條，含密碼1076萬條。“學習通”話題一度登上微博熱搜第一，截至記者發稿時閱讀量已超過3億次。

　　記者發現，話題一曝光，這款本來就評分超低（1.4分，總分5分）的軟件，一天之內評分更低至1.3分，評論區充滿了學生們憤怒的質問。作為一款在大中學生中普及率超高的學習軟件，此次事件暴露出個人信息保護的諸多短板，信息安全任重道遠。

　　加密后密碼是否就不會泄露

　　網友在使用網頁或者登錄App時，常常會被問“是否存儲密碼”，一般不常用的人都會點擊不存儲，以此作為個人安全措施。

　　此次事件中，超星學習通方面強調，網上傳言密碼泄露不實。因為他們不存儲用戶明文密碼，而是采取單向加密存儲，在這種技術手段下，即使公司內部員工（包括程序員）也無法獲得密碼明文，因此“理論上用戶密碼不會泄露”。

　　“密碼存儲加密僅僅是對密碼在整個生命周期過程中的存儲環節進行安全防護。”極盾科技CTO 鄭冬東對《中國消費者報》記者說，無論對用戶還是對平臺，密碼泄露的渠道非常多。“在其他環節，比如密碼采集（即獲取用戶輸入的密碼）、傳輸、使用等環節，如果沒有相應的防護措施，均有可能被泄露。例如，如果App被植入了木馬，在密碼采集環節，用戶輸入的密碼就會被木馬竊取。再比如在密碼傳輸環節，雖然通信渠道進行了加密，但密碼自身沒有被加密，進入后端系統之后，通信內容有可能會被解密。在這個環節，如果后端系統遭到攻擊、內部有人員編寫后門代碼，甚至普通開發無意中打印通信內容日志等，密碼就會被泄露出去。”鄭冬東說。

　　鄭冬東認為，這種問題并不是個例，大家普遍認為對存儲在數據庫或者硬盤中的數據加密，就能一勞永逸地保證數據的安全，但其實存儲加密僅僅是數據安全防護中的一環。密碼只是眾多敏感信息中的一種。即便密碼可以保證不發生泄露，也無法保證其他敏感信息，比如學生證、身份證不被泄露。所以，敏感信息泄露保護不僅僅是保護密碼不被泄露。

　　信息泄漏有內外兩種原因

　　超星學習通是在大學中普及率非常高的一款App，其功能包括移動教學、移動學習、移動閱讀等，常用于網絡課打卡、考試監考等。泄密事件發生后，社交媒體和應用商店里該App評價欄中，有大量學生表示近期有自己信息被泄露的征象。例如，有外地的手機號頻繁地給自己發信息、打電話；接到了境外詐騙電話，對方能準確地報出自己的身份證號碼，甚至知道自己有支付寶的學生認證等。

　　“從過去多起數據泄露事件來看，造成企業數據泄露的原因既可能是外部的也可能是內部的。”奇安信數據安全專家、數據安全子公司副總經理姚磊對《中國消費者報》記者說，“攻擊者可能利用目標系統漏洞或者竊取到的特權賬戶，獲取了相應數據庫管理員的權限，從而完成拖庫行為。比如領英數據泄露事件，就被證實為黑客利用其API漏洞所致。”

　　姚磊認為，內部原因分兩種：第一種有可能是運維人員的不當操作致使數據意外泄露，第二種則是有內鬼作祟，如果其內部權限管控缺失或者行為審計有紕漏，內部員工（如數據庫管理員）可以利用自身系統權限，將數據庫中的數據批量下載下來，然后進行倒賣。因此，企業應當加強數據安全防護力度，避免大量使用弱口令，對于發現的安全隱患要及時處置。

　　奇安信集團副總裁、創新BG負責人孔德亮在接受《中國消費者報》記者采訪時表示，信息泄露事件頻發，表明很多企業、機構的數據處在“裸奔”狀態，這是數據安全當前的首要問題，防裸奔、補短板迫在眉睫，包括對內部超越權限或者高危操作的嚴格控制。

　　鄭冬東認為，對企業而言，數據安全的建設是體系化的，要圍繞數據全生命周期過程，從組織架構、流程制度、技術工具、人員意識等多維度進行建設。對個人而言，可以使用并定期更換高復雜度的密碼、不安裝未知來源的App、及時升級系統、安裝殺毒軟件等手段進行防范。

　　平臺承擔何種責任

　　“平臺承擔責任的前提，首先是落實數據泄露渠道。”中國電子技術標準化研究院信息安全研究中心審查部總監、3?15信息安全實驗室專家何延哲對《中國消費者報》記者說，“泄露流轉的數據挺多，不好判斷是如何造成的泄漏，或者泄露的主體是誰。比如在此事例中，手機號、姓名、身份證號是通用數據，很多平臺都收集。因此，在落實法律責任之前，一定要確認平臺是否為信息泄露方。但本次事例中有個特殊性，即學號，這就有很大可能是學習通泄露的。”

　　何延哲表示，超星學習通方面聲稱已經報警，如果警方有證據證明是學習通泄密，那超星學習通就違反了個人信息保護法律法規，如果企業的安全措施沒做到位導致個人信息遭受侵犯，此前又沒有告知用戶采取修改密碼等措施降低風險等，依法就應受到處罰。

　　記者研究超星學習通的用戶協議發現，“其他免責聲明”中表示，對于因不可抗力或平臺方不能預料、不能控制的原因（包括但不限于計算機病毒或黑客攻擊、系統不穩定、用戶不當使用賬戶，以及其他任何技術、互聯網絡、通信線路原因）產生的包括但不限于用戶計算機信息和數據的安全問題，用戶個人信息的安全問題等給用戶或任何第三方造成的損失，平臺方不承擔任何責任。

　　“這項條款是否有效，要看平臺是否盡到技術安全保障的義務。”北京云嘉律師事務所律師趙占領對《中國消費者報》記者說，“如果是因為學習通系統本身就存在漏洞導致黑客入侵，免責條款就是無效的，學習通仍然要承擔相應的法律責任，賠償用戶的損失。”

　　網友質疑為何不下架

　　記者看到，超星學習通App目前在iOS應用商店的評分已經低至1.3。由于系統默認“對您有用的評價”排序為星級從高到低，也就是說如果評分過低，評價內容可能排到幾十上百頁之后，很難被看到。因此，為了讓自己的負面評價排到前面被后來的用戶看到，不少用戶選擇了給5星評分，而評價內容全部是負面的。

　　從用戶吐槽的內容看，超星學習通不僅此次泄露了用戶信息，而且存在超范圍收集個人隱私信息、強制在學習中使用等情況，因此，被用戶詬病不是一天兩天了。

　　“考試的時候都會截屏、要打開攝像頭，很過分。”浙江海洋學院的王子新對記者說，她不明白，長期評分這么低的軟件為何不被下架？這么明目張膽侵犯學生隱私的App為什么必須要用呢？

　　“一般來說，不會因為評分低而下架。”何延哲說，“因為評分是一個主觀意愿，也存在惡意打低分的情況。而下架處理相當于商品不能出售，類似于一個行政處罰措施。但是超星學習通這個評分已經足夠可以提醒用戶這個軟件不太好，所以在下載使用時就需要更加警惕。”

　　對于用戶反映的超星學習通評分如此低為何還必須使用，何延哲認為，如果這個App是在某一些場景下被某個部門強推的，要求學生在教學、考試中必須下載該App，而這款App得分又比較低，其安全措施又沒做好，那推廣方就應該對這個App的安全進行把關。

　　記者從超星學習通相關條款中了解到，超星學習通提供服務時，可能會收集、儲存和使用用戶的手機號碼、個人姓名、登錄賬號、位置權限、基于攝像頭（相機）的附加功能、基于圖片上傳的附加功能、基于語音技術的附加功能、查看WLAN狀態、讀取SD卡、監聽手機通話狀態、懸浮窗權限、藍牙權限、GET TASKS權限、設備信息、軟件信息等。

　　這是否涉嫌超范圍收集個人信息？“用戶在注冊時需要提供哪些個人信息，平臺已經履行了告知義務并經過用戶同意。”趙占領說，這種情況下，平臺是否過度收集個人信息關鍵要看“是否違反了必要性原則”。而評估平臺收集個人信息是否具有必要性，需要結合具體的產品來分析，也就是“用戶不提供最基本的信息，平臺就無法向其提供相應的服務”，比如導航軟件要收集用戶地理位置信息，購物軟件要收集用戶姓名、收集號碼等信息。