“看熱搜還以為是崩了，沒想到是個(gè)人信息泄露”“我六萬零五次使用次數(shù)，今天考完接到三個(gè)買房電話”……6月22日，不少大學(xué)生向天目新聞?dòng)浾叻从撤Q，疑似他們的個(gè)人信息遭“學(xué)習(xí)通”APP泄露，“接到陌生電話，對方都能準(zhǔn)確說出我的學(xué)校、手機(jī)號(hào)、學(xué)號(hào)、性別，你說我慌不慌?”

近日據(jù)網(wǎng)絡(luò)安全行業(yè)人士報(bào)料，大學(xué)生學(xué)習(xí)軟件“學(xué)習(xí)通”的數(shù)據(jù)庫信息正在被黑客非法售賣，兜售的數(shù)據(jù)包含姓名、手機(jī)號(hào)、性別、學(xué)校、學(xué)號(hào)、郵箱等信息，總共約1.73億條。對此，“學(xué)習(xí)通”官方微博21日下午發(fā)布聲明稱，排查工作已進(jìn)行了十余小時(shí)，到目前為止還未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)，公安機(jī)關(guān)已經(jīng)介入調(diào)查。

相關(guān)話題登上微博熱搜第一條

學(xué)生質(zhì)疑信息遭“偷窺、冒用”

涉事公司共服務(wù)6000余家單位

“學(xué)習(xí)通”被爆疑似發(fā)生數(shù)據(jù)泄露事件后，6月22日，天目新聞?dòng)浾卟稍L了數(shù)十名正在使用“學(xué)習(xí)通”的大學(xué)生后獲悉，用戶除了經(jīng)常接到國際騷擾電話，個(gè)人賬號(hào)還疑似被冒用，“昨天都沒用，卻顯示閱讀了12分鐘，還有20個(gè)查看不了的收藏，但實(shí)際上我從來沒收藏過。”

上海財(cái)經(jīng)大學(xué)大一學(xué)生王磊告訴天目新聞?dòng)浾撸?ldquo;學(xué)習(xí)通”需要進(jìn)行實(shí)名認(rèn)證，注冊時(shí)要填寫提交包括身份證、學(xué)校、學(xué)院、班級、學(xué)號(hào)等重要信息?？吹絺€(gè)人信息疑似被泄露的新聞后，他趕緊改密碼，可改密碼后，看到系統(tǒng)顯示又多了1000多次的使用次數(shù)，“難道是別人同步在登陸使用?”

“學(xué)習(xí)通”APP在手機(jī)后臺(tái)獲取個(gè)人信息 受訪者提供

懷同樣質(zhì)疑的，還有廣東某大學(xué)大三學(xué)生萬濤。他表示，目前他從“學(xué)習(xí)通”系統(tǒng)里看到自己使用了295萬次，“太離譜了，折合每天得使用2694次。”此外，大學(xué)生沈麗也向天目新聞?dòng)浾叻从?，她發(fā)現(xiàn)手機(jī)鎖屏狀態(tài)下，“學(xué)習(xí)通”會(huì)自動(dòng)啟動(dòng)，并在后臺(tái)“暗箱操作”，“獲取我的位置信息和手機(jī)信息。”

公開資料顯示，“學(xué)習(xí)通”系北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司開發(fā)運(yùn)營，是該公司旗下的一款教育軟件，在高校中普及率非常高，功能包括線上課程打卡、考試監(jiān)考等。另據(jù)天眼查招標(biāo)信息顯示，該公司有7519條招投標(biāo)信息，其中的6031條中標(biāo)信息，是為河南、山東、四川、重慶、安徽、江西等數(shù)十個(gè)省份或地區(qū)的大學(xué)、圖書館、政府機(jī)構(gòu)等提供信息服務(wù)項(xiàng)目。

“學(xué)習(xí)通”回應(yīng)：傳言不實(shí)

專家：務(wù)必警惕手機(jī)驗(yàn)證碼

6月21日下午，“學(xué)習(xí)通”官微發(fā)布聲明稱，其不存儲(chǔ)用戶明文密碼，采取單向加密存儲(chǔ)，理論上用戶密碼不會(huì)泄露，“公司確認(rèn)網(wǎng)上傳言密碼泄露是不實(shí)的。”此外還表示，收到用戶數(shù)據(jù)疑似泄露的消息后，公司已連續(xù)技術(shù)排查十余小時(shí)，暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)，公安機(jī)關(guān)已介入調(diào)查。

對此，浙江理工大學(xué)法政學(xué)院特聘副教授、網(wǎng)絡(luò)法研究所執(zhí)行所長郭兵分析，“學(xué)習(xí)通”官方回應(yīng)內(nèi)容并非針對“疑似用戶數(shù)據(jù)泄露”，密碼信息只是用戶信息的其中一種，回復(fù)實(shí)質(zhì)是答非所問。

看到聲明中提到“暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)”，郭兵認(rèn)為，因?yàn)閱T工是做外部因素排查未發(fā)現(xiàn)問題，不排除內(nèi)部問題導(dǎo)致用戶個(gè)人信息遭泄露。如果事實(shí)如報(bào)料人所說，目前已經(jīng)泄露了用戶姓名、學(xué)校、手機(jī)號(hào)等能對用戶形成完整畫像的全方位個(gè)人信息，加之這類信息不像密碼那樣可修改，“其所涉及風(fēng)險(xiǎn)會(huì)非常大。”

“在我們《個(gè)人信息保護(hù)法》中，把行蹤軌跡列為敏感個(gè)人信息，APP需告知用戶正在收集這些信息，并得到允許。此外，我們也要特別警惕一些APP偷窺手機(jī)短信中的驗(yàn)證碼，防范電信網(wǎng)絡(luò)詐騙。” 郭兵說，如果“學(xué)習(xí)通”有安全漏洞，容易成為不法分子獲取用戶個(gè)人信息的手段，比如在知道用戶手機(jī)號(hào)的情況下，偷窺到短信驗(yàn)證碼，銀行卡非法轉(zhuǎn)賬就很方便了，“一定要特別留意手機(jī)收到的動(dòng)態(tài)驗(yàn)證碼。”

企業(yè)泄露用戶個(gè)人信息

要被追究哪些法律責(zé)任

北京市隆安律師事務(wù)所上海分所合伙人曹劭運(yùn)認(rèn)為，盡管“學(xué)習(xí)通”《用戶協(xié)議》中提到了相關(guān)免責(zé)情況，但根據(jù)《個(gè)人信息保護(hù)法》第51條規(guī)定，即使發(fā)生了計(jì)算機(jī)病毒或黑客攻擊、系統(tǒng)不穩(wěn)定等客觀情況，企業(yè)應(yīng)舉證證明其已經(jīng)采取了合理的、最優(yōu)的措施確保個(gè)人信息處理活動(dòng)的合規(guī)性;且企業(yè)還應(yīng)當(dāng)舉證證明在發(fā)生泄露事件后，已采取相應(yīng)的補(bǔ)救措施，并通知了履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。在企業(yè)無法完成相應(yīng)的舉證責(zé)任的情況下，企業(yè)仍具有一定的過錯(cuò)，應(yīng)向用戶承擔(dān)侵權(quán)責(zé)任。

北京一法律師事務(wù)所律師周兆成認(rèn)為，如果是公司內(nèi)部員工泄露了用戶個(gè)人信息，該員工將可能構(gòu)成侵犯公民個(gè)人信息罪，情節(jié)嚴(yán)重的將處三年以下有期徒刑并且處罰金;如果情節(jié)特別嚴(yán)重的話，則要處三年以上七年以下有期徒刑，罰金自然也是免不了。

“當(dāng)個(gè)人信息被泄露后，用戶該如何維權(quán)?第一步要做的就是保留證據(jù)，保留好證據(jù)之后，向侵犯隱私的單位或個(gè)人發(fā)出警告，要求他們必須刪除自己的隱私信息并且消除影響，或者我們直接起訴該侵權(quán)單位或者個(gè)人，要求其承擔(dān)侵害我們隱私權(quán)的賠償責(zé)任。”周兆成說。

關(guān)鍵詞： 學(xué)習(xí)通被曝泄露用戶信息數(shù)據(jù) 網(wǎng)絡(luò)安全業(yè)內(nèi)人士 學(xué)習(xí)通數(shù)據(jù)泄漏事件 企業(yè)泄露用戶個(gè)人信息