学习通学生信息泄露事件追踪：有卖家连夜出售，宣称被金主买断

学习通官方微博截图

“消息多到爆炸，有什么事情直接说”“数据库不用问了，已经有人决定买断”……

6月21日晚，个别倒卖学习通数据的黑灰产仍不断释放最新消息。伴随1亿7273万条学生信息被曝泄露的消息热度蹿升，买家和卖家同样开始迅速活跃。

当晚22:15分，有买家在黑灰产平台上表示，数据“已经出售，被金主买断”。

针对此事，学习通当天回应称，其不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，“公司确认 上传言密码泄露是不实的”。学习通表示，收到用户数据疑似泄露的消息后已连续技术排查十余小时，暂未发现明确的用户信息泄露证据，公安机关已经介入调查。

黑灰产售卖信息

黑灰产倒卖热：有卖家宣称手握学生信息，有卖家打假

超星学习通是不少在校大学生的常用学习软件。此次被曝数据库信息遭公开售卖，包含姓名、手机 、性别、学校、学 、邮箱等信息1亿7273万条。

对于学习通数据疑似泄露，不少大学生用户表示担忧，“从昨天开始一直有骚扰电话”“最近天天有骚扰电话和短信不会因为这个吧？”

邱同学称，此事引爆舆论并不是他本意，事件发酵的速度超出自己预期，也说明大家对个人隐私泄露越来越关注。“我认为这件事情给学校和平台都敲响了警钟，核心机密数据不应储存于商业公司之手，要切实把 络安全建设落地。”

违规收集个人信息，学习通去年被工信部要求整改

贝壳财经体验其使用过程看到，学习通APP进行个人注册需提供手机 码，单位用户则需在此基础上提供个人姓名、登录账 （学 /工 ）以便单位管理统计。当用户使用学习通中的打卡签到、图片上传、超星课堂等功能时，可能会需要开启位置信息、摄像头、相册、麦克风等访问权限。

值得一提的是，早在2021年1月，学习通APP（版本:4.8.1)曾因违规收集个人信息，被工信部通 ，并要求其整改。同年7月，学习通（版本：4.8.5）因工信部检查发现仍涉及违规使用个人信息未完成整改，再次被通 。

根据国家信息安全漏洞共享平台记录，超星学习通在漏洞公布后曾更新过补丁。

国家信息安全漏洞共享平台显示超星学习通曾存在信息泄露漏洞

数据泄露有内外因，防数据“裸奔”迫在眉睫

姚磊称，内部原因也要分为两种情况：第一种有可能是运维人员的不当操作致使数据意外泄露；第二种则是有内鬼作祟，如果其内部权限管控缺失或者行为审计有纰漏，内部员工（如数据库管理员）可以利用自身系统权限，将数据库中的数据批量下载下来，然后进行倒卖。从这个角度来看，企业应采用技术手段，加强自身内部员工的权限管理和行为审计，对于某些超越权限或者高危操作应严格控制。

在超星学习通被曝可能存在信息泄露后，不少学生用户在 交平台公开发文质疑学习通的“使用次数”存在问题。 友“我是谁小怪兽”称，自己只在去图书馆需要预约时才使用学习通，却显示了4926次使用。 友“奶茶不要全糖要微糖”表示，自己的学习通使用次数有6万次。

对此，学习通回应称，使用量不是”使用学习通的次数”，而是用户使用学习通时向服务器发出的页面请求次数，类似于互联 请求的pv值（pageview），学习者有几十万学习通使用量是正常现象，而不是账 泄露的表现。

他表示，自己参与过大量攻防演练，发现国内各大高校还需要将 络安全建设落到实处。“具体措施的建构，行业标准的制定需要有识之士共同努力。国家的 络安全建设有待各方长期共同发力，为更美好、更安全的互联 而战。”

奇安信集团副总裁、创新BG负责人孔德亮表示，近年来媒体多次曝出的信息泄露事件再次表明，很多企业机构的数据处在“裸奔”状态，这是数据安全当前的首要问题，防“裸奔”、补短板迫在眉睫，85%以上的客户需要从这开始。