学习通和官方微博截图
“消息多得爆炸,有什么事直接说。”“数据库不用问。已经有人决定买了。”
6月21日晚上,个别倒卖学习资料的黑火山仍在继续发布最新消息。随着1.7273亿学生信息被泄露的消息,买家和卖家也迅速活跃起来。
当晚22:15分钟,一位买家在黑灰色生产平台上表示:“已经出售,被金州收购。”
新京报贝壳财经记者发现,M78Sec保安小组首先公开了超星学习通信息泄露。6月21日,此次事件的爆料者、北京一家安全公司创始人邱同学在接受贝财经记者采访时得知,前几天某平台学习应用程序的数据正在被黑客销售,然后仔细调查,确认泄露给社工区(集中存放黑客泄露的用户数据的数据库)的个别信息与学习通信信息非常一致。“其实我是创业的大学生。”
对此,学习通当天表示:“不存储用户明文密码,而是采用单向加密存储。理论上用户密码不会泄露。”“网络传闻密码泄露不是真的。”学习通表示,收到用户数据泄露嫌疑消息后,继续进行了10多个小时的技术调查,没有发现明确的用户信息泄露证据,公安机关介入了调查。
黑色灰色产品销售信息
黑财产倒卖热:有的卖家抓学生信息,有的卖家抓假货。
超星学习通是很多在校大学生的常用学习软件。此次公开的数据库信息公开了姓名、手机号码、性别、学校、学号、邮箱等1.7273亿条信息。
刚刚大学毕业的Kai对贝壳财经记者说,在校期间,他用超星学习通学通学通学通签课程、看课件等学习通学app,涉及学校要求、学分,所以很多学校都在使用,使用频率也很高。据“每节课都需要”KAON记者展示的学习通应用程序截图显示,使用次数为3万次。
很多大学生用户对学习资料被怀疑泄露表示担忧。“从昨天开始就有骚扰电话”,“最近每天都有骚扰电话和短信,不是因为这个吧?”" "
秋学生向贝财经记者表示,发现学习通资料被泄露,在某数据库中找到了姓名、电话、学校、学号、性别等数据。这个事件之所以被曝光,不仅是因为在信息泄露中发现了自己的基本信息,而且在比较后,本人的初次学习和信息是一致的。他认为:“大概率来说,消息是正确的。”“一些名牌大学也没有幸免。”
贝壳财经记者发现,6月18日或之前,有截图宣称在黑财产平台销售“1.7273亿份学习通稿”。
对于学习通回答,有人暗示称“确认密码没有泄露”的贝财经记者可以登录黑灰色生产平台,通过6月21日晚上的映射,用技术解密存储在学习通中的加密数据。因此,即使密码不泄露,也能在不影响黑产的情况下获得学生数据。
贝壳财经记者注意到,这个卖家先抛出了销售学习信息,引起了很多买家的询问。22:15分,黑灰色生产平台表示:“数据已售出,被金州收购。”
贝财经记者发现,只要有足够的时间和计算力,就可以解开用户密码。例如,主流彩虹表解密技术可以将所有可能的密码计算为哈希值(哈希值是将所有长度的输入字符串转换为密码并执行固定输出的过程)。)存储在索引文件中,需要解密时根据哈希查询索引文件,可以快速获得明文密码。
6月21日至22日,蛤财经记者搜索了黑火山平台,发现随着学习通事件的生效,越来越多的黑火山买家和卖家参与其中,部分卖家表示“购买了数据,保管后免费查阅”,部分买家因学习通资料花费500美元而被诈骗。对此,也有卖家站出来说“假”。“只有自己的数据是真实的。”" "
秋学生告诉贝财经记者,他能在社工库检索到自己的数据,可能是黑客卖给了社工库的维修人员。据他监测,学习资料从一开始就倒卖了约1300美元的价格几次,已经降价到3000元人民币,“已经要转手几次了”。
秋同学们解释说,这一事件爆发舆论不是他的本意,事件生效的速度比预想的要快,个人隐私泄露的关注度正在提高。“我认为这件事给学校和平台敲响了警钟,核心机密数据不应该存储在商业公司手中,应该落地网络安全建设。”
因违规收集个人信息,学习通去年被工信部要求改正
贝壳财经记者下载app后,可以看到苹果IOs商店的分数只有1.4分。最近的评论中,很多用户指出“侵犯隐私”,但更多用户吐槽这个应用程序是不方便的。其中包括“考试时要强行交卷子,我剪屏幕不能动不动”的内容。
贝壳
经体验其使用过程看到,学习通APP进行个人注册需提供手机号码,单位用户则需在此基础上提供个人姓名、登录账号(学号/工号)以便单位管理统计。当用户使用学习通中的打卡签到、图片上传、超星课堂等功能时,可能会需要开启位置信息、摄像头、相册、麦克风等访问权限。值得一提的是,早在2021年1月,学习通APP(版本:4.8.1)曾因违规收集个人信息,被工信部通报,并要求其整改。同年7月,学习通(版本:4.8.5)因工信部检查发现仍涉及违规使用个人信息未完成整改,再次被通报。
6月22日,贝壳财经记者登录国家信息安全漏洞共享平台发现,超星学习通在2020年至2021年间分别被曝出过存在XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。其中,信息泄露漏洞主要为“超星学习通App存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息”。此外,逻辑缺陷漏洞为“超星学习通应用系统平台存在逻辑缺陷漏洞,攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。”
根据国家信息安全漏洞共享平台记录,超星学习通在漏洞公布后曾更新过补丁。
国家信息安全漏洞共享平台显示超星学习通曾存在信息泄露漏洞
数据泄露有内外因,防数据“裸奔”迫在眉睫
贝壳财经记者调查发现,尽管目前无法确认黑灰产卖家标榜的“学习通数据”是否为真,但平台上已经不乏可能被泄露的学生个人信息,并几经倒手。记者注意到,黑灰产平台中,学生数据按本科生、硕士、博士、毕业生等被分类售卖。记者随即浏览几名卖家提供的样本信息发现,一些甚至包括大学生的实习经历和中小学生的家长信息。
奇安信数据安全专家、数据安全子公司副总经理姚磊对贝壳财经记者表示,从过去多起数据泄露事件来看,通常造成企业数据泄露的原因既可能是外部的,也可能是内部的,也存在二者皆有。攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。“此类事件此前也时有发生,比如领英数据泄露事件被证实为黑客利用其API漏洞所致。因此,企业应当加强数据安全防护力度,避免大量使用弱口令,对于发现的安全隐患要及时处置。”
姚磊称,内部原因也要分为两种情况:第一种有可能是运维人员的不当操作致使数据意外泄露;第二种则是有内鬼作祟,如果其内部权限管控缺失或者行为审计有纰漏,内部员工(如数据库管理员)可以利用自身系统权限,将数据库中的数据批量下载下来,然后进行倒卖。从这个角度来看,企业应采用技术手段,加强自身内部员工的权限管理和行为审计,对于某些超越权限或者高危操作应严格控制。
在超星学习通被曝可能存在信息泄露后,不少学生用户在社交平台公开发文质疑学习通的“使用次数”存在问题。网友“我是谁小怪兽”称,自己只在去图书馆需要预约时才使用学习通,却显示了4926次使用。网友“奶茶不要全糖要微糖”表示,自己的学习通使用次数有6万次。
对此,学习通回应称,使用量不是"使用学习通的次数",而是用户使用学习通时向服务器发出的页面请求次数,类似于互联网请求的pv值(pageview),学习者有几十万学习通使用量是正常现象,而不是账号泄露的表现。
邱同学告诉贝壳财经记者,学习通的使用次数和信息泄露应该没有必然联系,“这次事件大概率是黑客入侵所致。”
他表示,自己参与过大量攻防演练,发现国内各大高校还需要将网络安全建设落到实处。“具体措施的建构,行业标准的制定需要有识之士共同努力。国家的网络安全建设有待各方长期共同发力,为更美好、更安全的互联网而战。”
奇安信集团副总裁、创新BG负责人孔德亮表示,近年来媒体多次曝出的信息泄露事件再次表明,很多企业机构的数据处在“裸奔”状态,这是数据安全当前的首要问题,防“裸奔”、补短板迫在眉睫,85%以上的客户需要从这开始。
记者联系邮箱:luoyidan@xjbnews.com
新京报贝壳财经记者 罗亦丹
编辑 王进雨 宋钰婷
校对 陈荻雁