涉及隐私泄露,文末附程序员深挖
〈
来源:南粤御史
微信ID: nyyushi0817
〉
这几天,广州不少中小学生家长被学校紧急召集开会,填写孩子学籍相关信息,还要通过手机*载下**一个叫“教育技术服务平台”的APP上传资料,“不去就后果自负”。
据了解,除了天津市和海南省外,目前全国大部分地区中小学生都已*载下**了教育部指定的这个APP,涉及学生人数已将近4亿。其中,多个城市市民都担心,开发这个APP的公司可能会泄漏学生和家长信息,以谋取商业利益。那么,这个4亿学生都必须*载下**的APP到底是个什么鬼?
这款名叫“IM全国教育技术服务平台”APP其实就是信息采集系统,有家长、班主任、学校学籍管理员三个版本,采集了学生、学生家长的姓名、性别、民族、出生日期、身份证号码、学校、工作单位、港澳侨胞、电话号码等等信息。有填过表的家长说:“这可能是有史以来最完整的个人信息履历表。”
开发这款APP的公司叫天天艾米,他有什么背景,让御史君给你讲讲。
首先,2014年6月19日,大唐电信科技股份有限公司(600198.SH)与新华瑞德(北京)网络科技有限公司、北京英孚斯迈特信息技术有限公司拟共同出资设立天天艾米(北京)网络科技有限公司,天天艾米注册资本为2,500万元人民币。其中,大唐电信现金出资800万元,持股比例32%,新华瑞德无形资产出资475万元,持股比例19%,英孚斯迈特无形资产出资1,225万元,持股比例49%。
简介太复杂,你只用记住央企、上市公司,移动通信国际标准的提出者、制定者这三个关键词。新华瑞德(北京)网络科技有限公司则是大唐电信旗下的一家子公司,大唐电信控股。
关于北京英孚斯迈特信息技术有限公司,你只用记得:自然人独资、无形资产出资 1,225 万元,持股比例 49%这三个关键词即可。
按理说,天天艾米的股权结构就基本搞定了。但互联网公司发展史一日千里,股权结构变化很快。2015年3月,天天艾米的估值已经达到100亿元,这个数据在2014年还只是2亿元。水涨船高后,就可以变了。
2015年6月,大唐电信董事会发布公告,同意天天艾米引入外部战略投资者联创兴盛(北京)投资有限公司和北京中创日盛投资管理中心(有限合伙)对其进行增资。其中,联创兴盛出资2754万元,中创日盛出资1763万元。
经此变更,天天艾米注册资本变更为4237.29万元,大唐电信及北京新华瑞德(北京)网络科技有限公司合计持有30.09%股份,北京英孚斯迈特信息技术有限公司持有28.91%股份,联创兴盛持有25%股份,中创日盛持有16%股份。
联创兴盛简介,关键词:增资扩股前 2 个月成立,自然人独资公司。
中创日盛简介,关键词:增资扩股前 1 个月成立,有限合伙企业。
因此,天天艾米最终的股权结构就变成了如下图,也就是掌握4亿学生及家长数据的公司:
有必要再次重复的是:关于天天艾米公司,大唐电信及北京新华瑞德(北京)网络科技有限公司合计持有30.09%股份(市场估值 100 亿元后,大唐不再控股),北京英孚斯迈特信息技术有限公司持有28.91%股份(私企),联创兴盛持有25%股份(私企),中创日盛持有16%股份(私企)。
不得不说,4亿学生和家长担心这个APP泄密,还是有一定道理的。
那么这个市场估值百亿元的神奇APP,究竟有没有泄密的风险,而这样一个系统之中,又藏着哪些秘密呢?感谢某国家级移动互联网安全技术实验室(全国就两个这样的国家级实验室,绝对靠谱!)提供的技术检测报告和非人话的说明。
首先来看看,这些技术男们了解到的神奇APP的基本信息和准备干点什么:
数字和字母太复杂,技术男们的解释也太专业。通俗地说,技术男们检测了这个神奇APP的几个关键指标,看看有没有漏洞,是否包含敏感信息,会不会泄密。 技术男们第一个检测项目是shared_prefs文件,进入后发现客户端在本地生成的配置文件中含有敏感信息。举个简单例子就是,学生学籍信息确认表照片(含家长联系方式、工作单位、职业、住址等信息)都被上传到了365ime网站。极易被黑客或不法分子截获。
365ime网站 就是天天艾米公司官方网站。
为说明结果的严谨与准确,技术男们依照相关标准,又检测了数据库文件,检测配置信息、本地数据库、其他数据文件是否加密保存。结果仍是:客户端在本地生成的配置文件中含有敏感信息。(讲人话好吗?)哦,这句话意思是:学生和家长录入的学籍信息,存储在本地手机里。
为了说明确实专业,技术男又对cache文件做了检测,结果依然是客户端在本地生成的cache文件中含有敏感信息。技术男们还不放心,又检测了调试文件。结果是:客户端中调试信息没有关闭,进行了日志抓取,发现存在“短信验证码以及验证邮箱账户”等敏感信息的泄露。
最终,某该国家级移动互联网安全技术实验室的检测报告如下:
经过测评,发现在shared_prefs,databases,cache中均存在有不同程度的敏感用户信息的泄露。在通过LOGCAT动态调试时发现可以获取用户用于验证的短信验证码及验证的邮箱账户等信息;信息存储没有加密,极易被不法分子攻击,获取用户隐私信息。
口径与教育部不一致啊!
教育部今年05月30日在《关于“全国教育技术服务平台”有关问题的答复》的答复中是这样说的:
为配合学生学籍数据核查工作,全国教育技术服务平台通过电脑客户端、手机客户端(APP)开展咨询、答疑和上传确认表照片,并采取了多项措施保障信息安全。
一是所有确认表照片均直接传送并保存在学生所在省(自治区、直辖市)的省级教育数据中心,与学籍信息同等对待,全国教育技术服务平台不保存任何确认表照片信息(真的吗?);
二是平台在上线前已通过专门信息安全服务机构的严格安全检测(你确定?);
三是在确认表照片传输和存储过程中都采取了可靠的加密方式(说话要有依据噢)。上述措施可充分保障确认表照片和学籍信息的安全。
哎,被打脸了,真心疼。(完)
新浪新闻客户端|为我们希望的生活
微信ID:sinanewsapp长按二维码关注我!