超1.7亿条用户数据疑似被公开售卖，这个常用软件摊上事了_风闻

“超星学习通泄漏1.7亿条信息”登上了微博热搜第一。

近日，有消息称，大学生必备学习软件超星学习通的数据库信息被黑客在非法渠道销售，销售内容包括用户的姓名、手机号、性别、学校、学号、邮箱等各种信息，总量多达1亿7273万条。

应用商店显示，超星学习通是大学中普及率很高的一款软件，其功能包括网课打卡、考试监考等。iOS版本的学习通目前获得12万个评分，平均分仅有1.4分。

许多打一星的小伙伴表示，这款软件涉嫌过度手机用户信息，为实现考试监考功能，比如要获取手机的麦克风、摄像头等权限，而且必须实名制。可以说，用户最敏感的信息，都在超星学习通的掌控之下。

在微博上，有大量超星学习通用户提到，近日有外地的手机号给自己发信息、打电话，甚至有用户反映，自己前几天就接到了境外诈骗电话，对方能报出自己的身份证号、知道自己有支付宝学生认证。有用户吐槽称，“我好多账号用的都是这个密码”、“一会儿还要用学习通考试”。

微博上还有不少学习通用户表示，学习通App显示的使用次数异常，甚至有人的使用次数超过15万次。

对此，超星学习通对此回应称，收到疑似用户数据泄漏的信息后，立即组织技术排查，目前还未发现明确的用户信息泄漏证据。鉴于事情重大，学习通已经向相关部门报案，现在已经介入调查。

由此可见，互联网早就对每一位网民的信息“了如指掌”，网络安全也就成为近两年最受关注的话题。由于网上有了我们的个人信息，所以线上办理业务、购物等活动都相当方便，但也有不法分子利用这些信息进行牟利犯罪。

对此，奇安信数据安全专家、数据安全子公司副总经理姚磊分析称“从过去多起数据泄露事件来看，通常造成企业数据泄露的原因既可能是外部的也可能是内部的，当然也可能是二者皆有。”

攻击者可能利用目标系统漏洞或者窃取到的特权账户，获取了相应数据库管理员的权限，从而完成拖库行为。此类事件此前也时有发生，比如领英数据泄露事件被证实为黑客利用其API漏洞所致。

内部原因分为两种情况。第一种有可能是运维人员的不当操作致使数据意外泄露；第二种则是有内鬼作祟，如果其内部权限管控缺失或者行为审计有纰漏，内部员工（如数据库管理员）可以利用自身系统权限，将数据库中的数据批量下载下来，然后进行倒卖。