@学习通 微博2022年6月21日发布《关于“疑似学习通用户数据泄露”传闻的声明》,具体内容如下。
我公司昨晚收到“疑似学习通APP用户数据泄露”的反馈信息,立即组织技术排查,目前排查工作已经进行了十余个小时,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,我们已经向公安机关 案,公安机关已经介入调查。
学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认 上传言密码泄露是不实的。
用户信息安全是重大问题,我公司高度重视,将协助公安机关继续深入调查,全力保障用户信息和数据安全。
超星学习通是北京世纪超星信息技术发展有限责任公司旗下的一款教育App。学习通是基于微服务架构打造的课程学习,知识传播与管理分享平台。
北京世纪超星信息技术发展有限责任公司成立于2000年01月27日,经营范围包括技术开发、技术推广、技术咨询、技术服务;销售计算机、软件及辅助设备等。
01
超星学习通有多少用户?
02
用户协议
用户协议
1.3用户应当保证其完成上述注册(或变更注册)时所提供的身份信息及电话、电子邮箱等必要信息真实、准确、有效;如此类信息有任何变动,用户应当在三日内通过平台完成信息更新。因用户提供虚假或无效信息导致平台方或其他用户遭受损失的,用户应当承担全部责任。
1.4因 络攻击、用户保管用户名及密码不当、转让或出借用户名及密码、怠于履行本协议及其他相关协议下的通知义务等情形或其他非平台方原因,导致用户未能正常使用平台或遭受任何损失的,由用户自行担责,平台方不承担任何责任。
1.6用户账户因用户的主动泄露或遭受他人攻击、诈骗等行为导致的损失及后果,平台方不承担责任,用户应自行通过司法、行政等救济途径向侵权行为人追偿。
3.2.2平台无法保证其所提供的信息中没有任何错误、缺陷、恶意软件或病毒。对于因使用(或无法使用)平台导致的任何损害,平台不承担责任(除非此类损害是由平台的故意或重大疏忽造成的)。此外,对于因使用(或无法使用)与平台的电子通信手段导致的任何损害,包括但不限于因电子通信传达失败或延时、第三方或用于电子通信的计算机程序对电子通信的拦截或操纵,以及病毒传输导致的损害,平台不承担责任。
4.2服务过程中因协议双方以外的其他第三方原因造成的损失,由该第三方承担法律后果及赔偿责任。
5.2用户个人信息包括但不限于下列信息:用户真实姓名、性别、职业、任职/就读学校、头像、手机 码、IP地址等。
5.3用户非个人信息包括但不限下列信息:一切属于第5.2条所述的用户个人信息范围以外的信息,均为普通信息,不属于用户个人信息;包括但不限于用户对平台服务的操作状态、使用记录、使用习惯等反应在平台方服务器端的全部记录信息。
5.4重要提示:为向客户提供本协议所述服务,平台方将可能合理使用用户个人信息和非用户个人信息。用户一旦注册、登录、使用平台,将视为用户完全了解、同意并接受平台方通过包括但不限于收集、统计、分析、使用等方式合理使用用户信息,无需其他意思表示。为向用户完整地提供包括但不限于本协议所述的服务,平台方将可能要求用户上传用户信息(包括但不限于通讯录等),用户一旦选择上传用户信息,将视为用户完全了解、同意并接受平台方基于向用户提供服务的目的读取并合理使用用户信息。
5.5用户认可其已完全了解平台方使用用户信息的目的在于为用户提供包括本协议所述的服务或将来可能新增的服务,平台方使用用户信息的方式包括但不限于:收集、统计、分析、商业用途的使用等方式;平台方使用用户信息的范围包括但不限于本条第5.2条、5.3条、5.4条所定义的信息等。
5.6用户可以通过停止使用平台而不再向平台方提供用户信息。但是,在此之前已同意平台方使用的用户信息,平台方不承担主动删除、销毁的责任,并仍具有使用此类用户信息的权利。
5.7除非用户另有特别声明,平台方对用户信息的使用无需向用户支付任何费用,并且在用户同意本协议的基础上,无需向用户另行取得授权。
5.8平台方尊重用户的合法权利,不会以违反法律、行政法规以及本协议约定的方式收集、使用用户信息。
5.9非因平台方违反本协议的约定而导致的用户信息的泄露与平台方无关。任何用户(包括但不限于教师身份用户、家长身份用户、学生身份用户)不得利用、泄露、散播通过平台获取的其他用户的用户信息;用户发生前述行为的,平台方不承担任何责任,由前述侵权用户承担全部责任。任何平台方、用户外的第三方不得利用、泄露、散播通过平台获取的其他用户的用户信息,第三方发生前述行为的,平台方不承担任何责任,由该第三方承担全部责任。
7.2对于因不可抗力或平台方不能预料、不能控制的原因(包括但不限于计算机病毒或黑客攻击、系统不稳定、用户不当使用账户、以及其他任何技术、互联 络、通信线路原因等)产生的包括但不限于用户计算机信息和数据的安全问题,用户个人信息的安全问题等给用户或任何第三方造成的损失,平台方不承担任何责任。
03
隐私政策
2.1(1)个人用户注册:当您注册时,您需要向我们提供您准备使用的您本人的手机 码,届时我们将通过发送短信验证码的方式来验证您的身份是否有效。若您属于教师用户,那么当您向平台申请学校培训时,系统将自动填写您注册账户时所登记的手机 码。手机 码属于敏感信息,但基于国家法律法规规定的 络实名制要求和账户安全保障需要,若您不提供此项信息,将会导致部分功能无法正常使用。
小编注:经访问
https://passport2.chaoxing.com登录注册不输入手机 则无法完成注册,上述表述与实际相悖,建议改成若您不提供手机 码,将会导致无法完成注册。
2.4我们会根据本隐私政策的约定,为实现我们的产品与/或服务功能对所收集的个人信息进行使用。在收集您的个人信息后,我们将通过技术手段对数据进行去标识化处理,去标识化处理的信息将无法识别主体。
2.5请您注意,您在使用我们的产品与/或服务时所提供的所有个人信息,除非您自主变更或删除,否则将在您使用我们的产品与/或服务期间持续授权我们使用。在您注销账 时,我们将停止使用并删除您的个人信息。
小编注:这条大家可以和上面用户协议的5.6对比一下,有点矛盾。
2.7请您理解,平台在未来将是不断更新和发展的。当我们要将您的个人信息用于本隐私政策未载明的其它用途,或将基于特定目的收集而来的信息用于其他用途时,会通过邀请您主动做出勾选的形式或通过电话沟通的形式事先征得您的同意。
4.2平台仅在实现服务目的所需的最短时限内保留您的个人信息。例如:若您需使用平台服务,我们将需要一直保存您的手机 码,以向您正常提供各项功能与服务、保障您的账户和系统安全;当您注销账户后,我们将删除相关信息。在超出上述必要存储期限后,我们会对您的个人信息进行删除或匿名化处理。但您删除、注销账户或法律法规另有规定的除外(例如:《电子商务法》规定:商品和服务信息、交易信息保存时间自交易完成之日起不少于三年)。
当我们的产品或服务发生永久性停止运营的情形时,我们将停止继续收集个人信息,同时我们将采取推送通知的形式通知您,并在合理的期限内删除或匿名化处理您的个人信息。
4.3数据安全技术措施:平台会采用符合业界标准的安全防护措施,为保障您的信息安全,我们努力采取各种合理的物理、电子和管理方面的安全措施来保护您的信息,使您的信息不会被泄漏、毁损或者丢失,包括但不限于:身份鉴别(即当您首次注册时,平台将通过您的手机 码唯一确定您的身份信息)、数据加密措施(Md5加密保护,不可逆的加密算法)、访问控制(您须通过密码或者手机验证码进行登录,否则无法正常使用平台)、恶意代码防范(web应用防火墙,可对数据进行清洗,防范恶意代码执行)、安全审计(对数据进行审计过滤,防止sql注入)等。但请您理解,由于技术的限制以及可能存在的各种恶意手段,在互联 行业,即便竭尽所能加强安全措施,也不可能始终保证信息百分之百的安全。您需要了解,您接入平台的产品和服务所用的系统和通讯 络,有可能因平台可控范围外的因素而出现问题。
4.5互联 并非绝对安全的环境,平台建议您在使用平台与第三方交流时注意保护您的个人信息安全。您在使用平台的产品和服务时所提供、上传或发布的内容和信息(例如有关您个人的照片等信息),可能被第三方泄露。
第七条 免责条款
除本政策已列明的免责情况外,在发生下列情况时,平台也无需承担任何责任:
(1)由于您将您的用户密码告知他人、与他人共享注册账户或其他因您个人保管不善,由此导致的任何个人资料的泄露、丢失、被盗用或被篡改等。
(2)任何由于黑客攻击、计算机病毒侵入或发作,因政府管制而造成的暂时性关闭等影响 络正常经营之不可抗力而造成的个人资料的泄露、丢失、被盗用或被篡改等。
(3)其他非平台直接责任导致的个人信息的泄露及由此产生的任何法律争议和后果。
04
国家信息安全漏洞共享平台的公开信息
CNVD-ID CNVD-2020-26484
公开日期 2020-05-07
危害级别 中 (
AV:N/AC:L/Au:S/C:P/I:N/A:N)
影响产品 北京世纪超星信息技术发展有限责任公司 超星学习通App 4.3.6
漏洞描述
超星学习通App存在XSS漏洞,攻击者可以利用漏洞获取管理员cookie信息。
漏洞类型 通用型漏洞
参考链接
漏洞解决方案 厂商暂未提供修复方案,请关注厂商 站及时更新:
http://www.chaoxing.com/
厂商补丁 超星学习通App存在XSS漏洞
验证信息 已验证
送时间 2020-03-23
收录时间 2020-05-06
更新时间 2020-05-09
CNVD-ID CNVD-2020-61119
公开日期 2020-11-10
危害级别 中 (
AV:N/AC:L/Au:N/C:P/I:N/A:N)
影响产品 北京世纪超星信息技术发展有限责任公司 超星学习通App 4.7.2
漏洞描述 超星学习通App存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
漏洞类型 通用型漏洞
参考链接
漏洞解决方案 厂商尚未提供修复方案,请关注厂商主页更新:
http://www.chaoxing.com/
厂商补丁 (无补丁信息)
验证信息 已验证
送时间 2020-09-26
收录时间 2020-11-09
更新时间 2020-11-09
CNVD-ID CNVD-2021-33199
公开日期 2021-06-05
危害级别 中 (
AV:N/AC:L/Au:N/C:P/I:P/A:N)
影响产品 北京世纪超星信息技术发展有限责任公司 超星学习通应用系统平台
漏洞描述 超星学习通应用系统平台存在逻辑缺陷漏洞。攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。
漏洞类型 通用型漏洞
参考链接
漏洞解决方案 厂商已提供漏洞修补方案,请关注厂商主页及时更新:
https://www.chaoxing.com/
厂商补丁 超星学习通应用系统平台逻辑缺陷漏洞
验证信息 已验证
送时间 2021-04-21
收录时间 2021-05-08
更新时间 2021-09-30
CNVD-ID CNVD-2021-90334
公开日期 2021-12-23
危害级别 低 (
AV:N/AC:H/Au:S/C:P/I:P/A:N)
影响产品 北京世纪超星信息技术发展有限责任公司 学习通云盘
漏洞描述 学习通云盘存在XSS漏洞,攻击者可利用该漏洞获取用户cookie等敏感信息。
漏洞类型 通用型漏洞
参考链接
漏洞解决方案 厂商已提供漏洞修补方案,请关注厂商主页及时更新:
https://www.chaoxing.com/
厂商补丁 学习通云盘存在XSS漏洞的补丁
验证信息 已验证
送时间 2021-11-08
收录时间 2021-11-24
更新时间 2021-12-31
05
小编观点
- 用户协议和隐私政策有较多不一致的描述,前者的措辞更像是 络安全保护三部法出台前的古早版本,多次出现“本平台不承担任何责任”的表述与现行法规的法条精神相悖,建议该公司统一版本以避免自相矛盾且给用户带来解读上的困扰。
- 隐私政策的发布日期、更新日期没有标注,用户不知道是否存在版本和更新迭代,你心里清楚用户自己不知道,用户心里清楚你心里清楚用户心里不知道的原因是,没法不用你这APP啊。
- 个人信息保护法虽然没有明确个人信息数量多少需要指定个人信息保护负责人并且公示,但从该公司有关领导在2020年的受访表述中可见用户人数已经不少了。建议按照法规规定在官 公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等 送履行个人信息保护职责的部门。
- 本月的 络事件发生后该公司仅在微博上发表回应,官 上没有任何声明。
- 国家信息安全漏洞共享平台上该公司涉及4个漏洞,其中2个漏洞厂商已提供漏洞修补方案,但厂商主页https://www.chaoxing.com没有任何资料可查,另2个漏洞显示厂商尚未提供修复方案,在官 上没有告知用户的任何通知,不符合 络安全法第二十二条的要求。
- 该公司的第三方合作公司没有公示,用户协议和隐私政策中均未见SDK列表,2020年10月起,《信息安全技术个人信息安全规范》明确了第三方接入者的责任。2021年3月,《常见类型移动互联 应用程序必要个人信息范围规定》约束了第三方SDK收集的信息范围需要与APP等同。2021年4月,《移动互联 应用程序个人信息保护管理暂行规定》对第三方服务提供者履行信息保护义务提出了要求。综上所述该公示的隐私政策的内容要不是未及时更新,要不就是忽视了管理规定。
- 最后补充一点,国外的处罚力度目前是绝对不适合国内企业生存的,出海企业得慎重考虑,有人要问国内的力度强不强啊,小编表示目前不强还可以混混。北美视角|教育巨头培生因淡化数据泄露被SEC罚款 100 万美元
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!