同濟大學微信竟被隨意「接管」6萬多師生信息泄露。(網絡截圖)
上海一女子登陸自己的企業微信,發現自己的賬號竟然完全「接管」了同濟大學的組織架構,能夠看到全校師生共計61,509條個人信息,包括姓名、職務、部門、電話和郵箱等敏感私隱數據。
據大陸媒體報導,8月25日,上海張女士(化名)介紹,當天,她上班像往常一樣打開企業微信,她登錄方式是選擇的使用微信登錄,登錄後發現是陌生人賬號,是一位周姓同學。她表示,她完全不認識這個周姓同學,也和她沒有任何交集,而且通訊錄裏面可以看到六萬多名師生個人私隱信息。
另外,她發現,她還可以來回切換自己的賬號和陌生人的賬號,同時掌握了兩個完全不同身份賬號的訪問權限。
她對平台安全漏洞問題表達擔憂:「萬一被不法分子拿到這些信息怎麼辦,學生接詐騙騷擾電話不得接到手軟。」
對此,同濟大學信息化辦公室工作人員稱,企業微信現在主要是用於新生(入學)激活和人臉識別,同濟大學學工部工作人員稱,這個事情非常重要,因為關乎學校每個師生(信息安全),已將此事反饋給相應部門處理。
8月26日,企業微信回應稱,「已關注到這個事情,正在跟進處理中。」
報導稱,據接近騰訊公司的相關知情人士透露,此類案例很可能因運營商對停用的手機號碼「二次放號」後,原號主未解綁相關服務導致,原號主停用手機號後未解綁企業微信服務,新號主通過該手機號登錄時誤接入原組織架構。
報導引用北京安劍律師事務所周兆成律師的說法認為,「二次放號」只是一個誘因,而根本原因在於其平台的安全機制存在缺陷,未能有效防止非授權訪問,受影響的同濟大學師生有權對企業微信(騰訊公司)提起民事訴訟。
有網友分析,「企業微信的解釋顯然是甩鍋,即使是二次放號原號主未解綁服務,那權限也僅限於原號主的權限。」「這不是微信的問題嘛,微信不是一直這個德行,毫無安全可言,電信也是幫凶。」
