从超星事件看国内高校信息安全

超星事件时间线梳理

  • 2022.06.20下午,部分网络安全社区传出超星学习通数据库遭入侵,在非法渠道兜售的信息;
  • 2022.06.20晚,多人在社工平台查询到超星相关信息,并通过查询其本人的信息证实了流传的超星数据库为真;
  • 2022.06.21早上,一份内容为受波及学校及组织的名单在网上流传,涉及到幼儿园至中学、各高校;
  • 2022.06.21下午,超星官微发表声明称“还未发现明确的用户信息泄露证据”、“网上传言密码泄露是不实的”;

潜伏在高校中的“超星”们

近几年,“信息化”、“无纸化”的推广,以及由于疫情的影响,学校越来越多地依靠一些在线的服务来进行远程授课、出勤管理、信息收集等,回想过去几年,在学校使用过的各种平台数不胜数,除了超星,还有PTA、学者网、至善网、雨课堂、奕报告、今日xx、对分易、我在校园等等,这些平台有几个非常显著的共性特征:

  • 学校或学院或某门课程钦定使用这个平台
  • 为了与考勤、成绩考核等挂钩,学校向这些平台提供学生姓名、学号、学院专业等信息,或由学生自行在平台填写这些信息
  • 学校主动向这些平台提供一些与学生有关的信息,如成绩、校卡余额、消费记录等
  • 平台过度收集过多的隐私信息,如家庭住址、家庭联系方式、误差为10米的经纬度等
  • 所有这些数据存储在第三方平台上,学校与学生本身并不能掌控这些数据

再看看本次超星学习通的脱裤(拖库,即指网站遭到入侵后,黑客窃取其数据库文件),被泄露的正是上述学校或学生本身向这些平台提供的学校/组织名称、姓名学号学院专业等信息,以及对应的密码(据官方说并非明文)。可以说,通过学校近乎强制性地推广,学生几乎没有选择余地地向这些平台提供了大量的隐私信息,同时学校本身对提供出去的信息也没有经过严格的考虑,最后也是最严重地,所有这些数据以不一定达到业界安全标准的方式存储在并不可信的第三方,也没有提供注销账号等功能使得用户可以主动删除自己的数据。

这些平台只是冰山一角,在高校日常管理中,还有非常多有可能导致隐私泄露的高危行为,包括但不限于:

  • 使用公开平台(如问卷星、腾讯文档等)收集学生信息,包括专业班级学号、联系方式、家庭信息、就业信息等
  • 在公开渠道(如微信群聊等)不加节制地明文传输、公开含有隐私信息的表格等
  • 将含有隐私信息的文件不加节制地散布到不应有权掌握这些文件的人手中(如学生助理等),对数据的存储没有明确的规章制度(如明确仅能用于什么用途、用后应删除、不能扩散等规定)
  • 一些校内学生自行开发的平台,未使用加密或使用过期的加密方式存储数据,数据管理不规范等

国内一直有一种论调,认为“用户愿意用隐私换取便利”,在国内互联网环境中,信息安全意识普遍不足,从厂商到组织使用者再到用户本身都没有意识到隐私和信息安全的重要性。在高校中,即使在计算机相关专业,一些安全的做法也会被认为是“复杂”、“多此一举”,隐私和信息安全的推广还有很长的路要走。

微薄之力

这一节的标题之所以叫微薄之力,是因为接下来我提的建议若要实际推行将会遇到客观和主观的各种压力,但关于隐私和信息安全我已经压抑已久,由于已经毕业,我也尝试在年级大群中发声,尝试改变这一现状,也取得了一定的成效。

从学校的角度,作为可能泄露隐私信息的活动的“发起者”,有以下这些努力可以尝试:

  • 完善信息化建设,私有化部署远程授课、出勤管理、信息收集等系统,确保隐私数据掌握在学校本身的服务器而非第三方,同时
    • 对上述系统的访问作一定限制,如限制校园网访问(校外访问可提供隧道等方式)
    • 对上述系统作充分安全评估,安排专人运维,及时修补漏洞
    • 对上述系统存储的数据定时备份,并订立完善的数据管理机制,限制数据的获取
  • 建设学生信息管理系统,对诸如身份证号、联系方式、家庭住址等隐私信息进行统一存储和管理,在学校各系统间互联互通,避免在管理过程中需要学生重复填报相关信息;同时设立权限机制,限制对这些信息的获取(甚至是辅导员也无法直接查看某个学生隐私信息,有需要时通过申请向上级获得仅申请的这个人的查看权限)。
  • 不使用任何第三方系统收集学生任何信息,不在任何第三方平台公开学生的任何信息

从学生的角度,作为隐私泄露的可能受害者,有这些努力可以尝试:

  • 完善自己的安全意识和知识,在不同系统上使用不同的强密码,仅提供必要的信息,使用安全的网络访问等
  • 认识到什么数据属于个人隐私,坚决不能主动提供或被他人公开
  • 拒绝使用任何第三方平台,拒绝向第三方平台提供任何信息
  • 提醒辅导员不要在级群等公开渠道发布含有个人信息的文件,提醒学生助理等不要将含有个人信息的文件不加权限地发布在如腾讯文档、上传至百度网盘等

如果是有良心的企业,有以下努力可以尝试:

  • 向学校等组织提供私有化部署方案,提供上门部署服务等,将数据留在学校;如有条件,可将系统开源
  • 自觉提升系统安全强度,及时修补漏洞,按照业界标准对数据进行加密等
  • 提供注销功能,让用户可以选择彻底删除(非软删除)所有在系统上存储的信息

Happy Ending or Tragic Ending?

超星事件的走向,我认为有以下两种可能

  • 超星技术真的菜到没意识到自己被入侵
  • 超星知道自己被脱裤了,但是可以靠关系降热度压热搜,互联网很健忘,下周就没事了

从经验来看,后者的可能性比较大。一个用户体验如此拉胯、技术水平如此低下的平台竟能在全国各地高校、中小学推广,其中涉及的利益链条不言而喻。从超星的声明中也看到很巧妙的一点,声明中只字不提专业班级学号、联系方式的泄露,矛头直指密码,只说密码单向加密没有泄露。对于惯于“用户愿意用隐私换取便利”的大众网民,他们不一定意识到除了密码以外许多东西都属于个人隐私,用户没有被踩到痛处,自然容易淡忘。

但另一方面,与之前CSDN被脱裤不同,这次的泄露涉及到的群体较为广泛,可谓是”火出圈“了,引起的注意也比较大。希望这次被波及到的用户能够真的痛定思痛,着手提升自己的隐私和信息安全意识。

篇外

本次超星事件不幸(但可以说几乎是必然)地波及到了本人所在的学校(目前已毕业)。经查,本人在超星使用学校+学号+密码的方式登录,绑定了常用的手机号码,所幸使用的密码是常用密码的一个变体,即使密码明文泄露造成的影响也有限。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×