原標(biāo)題:學(xué)習(xí)通學(xué)生信息泄露事件追蹤:有賣家連夜出售���,宣稱被金主買斷
“消息多到爆炸�����,有什么事情直接說”“數(shù)據(jù)庫不用問了�,已經(jīng)有人決定買斷”……
6月21日晚,個別倒賣學(xué)習(xí)通數(shù)據(jù)的黑灰產(chǎn)仍不斷釋放最新消息�����。伴隨1億7273萬條學(xué)生信息被曝泄露的消息熱度躥升�,買家和賣家同樣開始迅速活躍��。
當(dāng)晚22:15分����,有買家在黑灰產(chǎn)平臺上表示����,數(shù)據(jù)“已經(jīng)出售�,被金主買斷”。
新京報貝殼財經(jīng)記者發(fā)現(xiàn)�,M78Sec安全團(tuán)隊率先披露出超星學(xué)習(xí)通信息泄露。6月21日�����,此次事件爆料人�����、北京某安全公司創(chuàng)始人邱同學(xué)接受貝殼財經(jīng)記者采訪表示����,自己前幾日在某平臺發(fā)現(xiàn)了學(xué)習(xí)通APP的數(shù)據(jù)正在被黑客兜售,于是進(jìn)行仔細(xì)查證����,經(jīng)多人驗證發(fā)現(xiàn)社工庫(黑客將泄漏的用戶數(shù)據(jù)集中歸檔的數(shù)據(jù)庫)中泄露的個別信息與學(xué)習(xí)通信息高度一致����,“其實我是一名創(chuàng)業(yè)的大學(xué)生�,很不幸,我的數(shù)據(jù)也在泄露的范圍內(nèi)����!
針對此事�����,學(xué)習(xí)通當(dāng)天回應(yīng)稱�,其不存儲用戶明文密碼,采取單向加密存儲�,理論上用戶密碼不會泄露,“公司確認(rèn)網(wǎng)上傳言密碼泄露是不實的”��。學(xué)習(xí)通表示��,收到用戶數(shù)據(jù)疑似泄露的消息后已連續(xù)技術(shù)排查十余小時����,暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)��,公安機(jī)關(guān)已經(jīng)介入調(diào)查��。
黑灰產(chǎn)售賣信息黑灰產(chǎn)售賣信息
黑灰產(chǎn)倒賣熱:有賣家宣稱手握學(xué)生信息���,有賣家打假
超星學(xué)習(xí)通是不少在校大學(xué)生的常用學(xué)習(xí)軟件。此次被曝數(shù)據(jù)庫信息遭公開售賣����,包含姓名、手機(jī)號�����、性別���、學(xué)校����、學(xué)號����、郵箱等信息1億7273萬條���。
剛剛大學(xué)畢業(yè)的凱一告訴貝殼財經(jīng)記者,在校期間需要使用超星學(xué)習(xí)通上課簽到�����,看課件等���,使用學(xué)習(xí)通APP為學(xué)校要求�,與學(xué)分有關(guān)����,所以很多學(xué)校在用,使用頻率也較高����������!懊抗(jié)課都需要”����,根據(jù)凱一向記者展示的學(xué)習(xí)通APP截圖�,她的使用次數(shù)為3萬次��。
對于學(xué)習(xí)通數(shù)據(jù)疑似泄露��,不少大學(xué)生用戶表示擔(dān)憂���,“從昨天開始一直有騷擾電話”“最近天天有騷擾電話和短信不會因為這個吧�����?”
邱同學(xué)對貝殼財經(jīng)記者表示,他在發(fā)現(xiàn)學(xué)習(xí)通數(shù)據(jù)疑似泄露后���,從某數(shù)據(jù)庫中找到了姓名�、電話�����、學(xué)校����、學(xué)號、性別等數(shù)據(jù)�。之所以爆出這一事件����,是因為不僅在泄露信息中發(fā)現(xiàn)了自己的基本信息���,而且經(jīng)比對后與其本人的超星學(xué)習(xí)通信息一致����。他認(rèn)為“極大概率來說���,消息是準(zhǔn)確的”�,而且“一些名校也沒有幸免于難”���。
貝殼財經(jīng)記者發(fā)現(xiàn)���,有截圖顯示在6月18日或更早,就有賣家在黑灰產(chǎn)平臺上公開宣稱出售“1億7273條學(xué)習(xí)通數(shù)據(jù)”�。
對于學(xué)習(xí)通回應(yīng)稱“確認(rèn)密碼沒有泄露”,貝殼財經(jīng)記者登錄黑灰產(chǎn)平臺發(fā)現(xiàn)��,有賣家在6月21日晚間發(fā)貼圖暗示稱�����,學(xué)習(xí)通所儲存的加密數(shù)據(jù)可以通過技術(shù)破譯,所以即便密碼沒有泄露也不影響黑產(chǎn)獲取學(xué)生數(shù)據(jù)��。
貝殼財經(jīng)記者注意到����,由于這一賣家率先拋出售賣學(xué)習(xí)通信息,引來不少買家詢問��。22:15分����,其在黑灰產(chǎn)平臺上表示,數(shù)據(jù)“已經(jīng)出售�,被金主買斷”。
貝殼財經(jīng)記者了解到����,只要擁有足夠的時間和算力�,用戶密碼可以被解開。例如主流的“彩虹表”密碼破譯技術(shù)�����,可以把所有可能的密碼計算出哈希(哈希值是將任意長度的輸入字符串轉(zhuǎn)換為密碼并進(jìn)行固定輸出的過程��。)并保存在索引文件中,在需要破解時只需根據(jù)哈希對索引文件進(jìn)行查詢即可很快獲得明文密碼����。
6月21日至22日,貝殼財經(jīng)記者檢索黑灰產(chǎn)平臺發(fā)現(xiàn)��,隨著學(xué)習(xí)通事件發(fā)酵�,越來越多黑灰產(chǎn)買家和賣家參與其中,有賣家稱“已購入數(shù)據(jù)�,入庫后免費開放查詢”,有買家在花費500美元購買到學(xué)習(xí)通數(shù)據(jù)后發(fā)現(xiàn)被騙�。對此,甚至有賣家站出來“打假”表示���,“只有自己的數(shù)據(jù)才是真的���。”
邱同學(xué)告訴貝殼財經(jīng)記者�����,他之所以能在社工庫搜索到自己的數(shù)據(jù)����,應(yīng)該是數(shù)據(jù)已經(jīng)被黑客賣給了社工庫的維護(hù)人員�����。據(jù)他監(jiān)測���,學(xué)習(xí)通的數(shù)據(jù)從最開始的約1300美元價格經(jīng)過幾輪倒賣,已經(jīng)降價到3000元人民幣����,“應(yīng)該已經(jīng)被轉(zhuǎn)手過幾次了”。
邱同學(xué)稱��,此事引爆輿論并不是他本意��,事件發(fā)酵的速度超出自己預(yù)期���,也說明大家對個人隱私泄露越來越關(guān)注�����!拔艺J(rèn)為這件事情給學(xué)校和平臺都敲響了警鐘��,核心機(jī)密數(shù)據(jù)不應(yīng)儲存于商業(yè)公司之手,要切實把網(wǎng)絡(luò)安全建設(shè)落地�。”
違規(guī)收集個人信息���,學(xué)習(xí)通去年被工信部要求整改
貝殼財經(jīng)記者下載學(xué)習(xí)通APP看到���,其在蘋果ios商店中的評分只有1.4分。最新評論中不少用戶指出“侵犯隱私”����,不過更多的還是用戶吐槽該APP使用不方便,包括“考試時被強(qiáng)制交卷了���,動不動說我切屏”���。
貝殼財經(jīng)體驗其使用過程看到,學(xué)習(xí)通APP進(jìn)行個人注冊需提供手機(jī)號碼�����,單位用戶則需在此基礎(chǔ)上提供個人姓名����、登錄賬號(學(xué)號/工號)以便單位管理統(tǒng)計��。當(dāng)用戶使用學(xué)習(xí)通中的打卡簽到����、圖片上傳�����、超星課堂等功能時�,可能會需要開啟位置信息、攝像頭�����、相冊�����、麥克風(fēng)等訪問權(quán)限�����。
值得一提的是����,早在2021年1月,學(xué)習(xí)通APP(版本:4.8.1)曾因違規(guī)收集個人信息�,被工信部通報,并要求其整改���。同年7月���,學(xué)習(xí)通(版本:4.8.5)因工信部檢查發(fā)現(xiàn)仍涉及違規(guī)使用個人信息未完成整改,再次被通報�。
6月22日,貝殼財經(jīng)記者登錄國家信息安全漏洞共享平臺發(fā)現(xiàn)��,超星學(xué)習(xí)通在2020年至2021年間分別被曝出過存在XSS漏洞�、信息泄露漏洞和邏輯缺陷漏洞。其中�,信息泄露漏洞主要為“超星學(xué)習(xí)通App存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息”�。此外,邏輯缺陷漏洞為“超星學(xué)習(xí)通應(yīng)用系統(tǒng)平臺存在邏輯缺陷漏洞���,攻擊者可利用漏洞導(dǎo)致任意用戶賬戶登錄及泄露用戶信息������!
根據(jù)國家信息安全漏洞共享平臺記錄,超星學(xué)習(xí)通在漏洞公布后曾更新過補(bǔ)丁��。
��。▏倚畔踩┒垂蚕砥脚_顯示超星學(xué)習(xí)通曾存在信息泄露漏洞)
數(shù)據(jù)泄露有內(nèi)外因�,防數(shù)據(jù)“裸奔”迫在眉睫
貝殼財經(jīng)記者調(diào)查發(fā)現(xiàn),盡管目前無法確認(rèn)黑灰產(chǎn)賣家標(biāo)榜的“學(xué)習(xí)通數(shù)據(jù)”是否為真��,但平臺上已經(jīng)不乏可能被泄露的學(xué)生個人信息�����,并幾經(jīng)倒手�。記者注意到,黑灰產(chǎn)平臺中��,學(xué)生數(shù)據(jù)按本科生��、碩士����、博士、畢業(yè)生等被分類售賣���。記者隨即瀏覽幾名賣家提供的樣本信息發(fā)現(xiàn)���,一些甚至包括大學(xué)生的實習(xí)經(jīng)歷和中小學(xué)生的家長信息。
奇安信(53.130, -1.81, -3.29%)數(shù)據(jù)安全專家�、數(shù)據(jù)安全子公司副總經(jīng)理姚磊對貝殼財經(jīng)記者表示,從過去多起數(shù)據(jù)泄露事件來看���,通常造成企業(yè)數(shù)據(jù)泄露的原因既可能是外部的��,也可能是內(nèi)部的����,也存在二者皆有��。攻擊者可能利用目標(biāo)系統(tǒng)漏洞或者竊取到的特權(quán)賬戶��,獲取了相應(yīng)數(shù)據(jù)庫管理員的權(quán)限��,從而完成拖庫行為����。“此類事件此前也時有發(fā)生�,比如領(lǐng)英數(shù)據(jù)泄露事件被證實為黑客利用其API漏洞所致�����。因此�����,企業(yè)應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全防護(hù)力度���,避免大量使用弱口令,對于發(fā)現(xiàn)的安全隱患要及時處置������!
姚磊稱,內(nèi)部原因也要分為兩種情況:第一種有可能是運維人員的不當(dāng)操作致使數(shù)據(jù)意外泄露�;第二種則是有內(nèi)鬼作祟,如果其內(nèi)部權(quán)限管控缺失或者行為審計有紕漏��,內(nèi)部員工(如數(shù)據(jù)庫管理員)可以利用自身系統(tǒng)權(quán)限��,將數(shù)據(jù)庫中的數(shù)據(jù)批量下載下來��,然后進(jìn)行倒賣。從這個角度來看���,企業(yè)應(yīng)采用技術(shù)手段����,加強(qiáng)自身內(nèi)部員工的權(quán)限管理和行為審計�����,對于某些超越權(quán)限或者高危操作應(yīng)嚴(yán)格控制�����。
在超星學(xué)習(xí)通被曝可能存在信息泄露后��,不少學(xué)生用戶在社交平臺公開發(fā)文質(zhì)疑學(xué)習(xí)通的“使用次數(shù)”存在問題��。網(wǎng)友“我是誰小怪獸”稱�,自己只在去圖書館需要預(yù)約時才使用學(xué)習(xí)通�,卻顯示了4926次使用。網(wǎng)友“奶茶不要全糖要微糖”表示�����,自己的學(xué)習(xí)通使用次數(shù)有6萬次。
對此�,學(xué)習(xí)通回應(yīng)稱,使用量不是"使用學(xué)習(xí)通的次數(shù)"���,而是用戶使用學(xué)習(xí)通時向服務(wù)器發(fā)出的頁面請求次數(shù)���,類似于互聯(lián)網(wǎng)請求的pv值(pageview),學(xué)習(xí)者有幾十萬學(xué)習(xí)通使用量是正�����,F(xiàn)象�,而不是賬號泄露的表現(xiàn)。
邱同學(xué)告訴貝殼財經(jīng)記者���,學(xué)習(xí)通的使用次數(shù)和信息泄露應(yīng)該沒有必然聯(lián)系��,“這次事件大概率是黑客入侵所致���!
他表示����,自己參與過大量攻防演練�����,發(fā)現(xiàn)國內(nèi)各大高校還需要將網(wǎng)絡(luò)安全建設(shè)落到實處����������!熬唧w措施的建構(gòu)����,行業(yè)標(biāo)準(zhǔn)的制定需要有識之士共同努力�。國家的網(wǎng)絡(luò)安全建設(shè)有待各方長期共同發(fā)力�����,為更美好��、更安全的互聯(lián)網(wǎng)而戰(zhàn)����!
奇安信集團(tuán)副總裁、創(chuàng)新BG負(fù)責(zé)人孔德亮表示�,近年來媒體多次曝出的信息泄露事件再次表明,很多企業(yè)機(jī)構(gòu)的數(shù)據(jù)處在“裸奔”狀態(tài)�����,這是數(shù)據(jù)安全當(dāng)前的首要問題�����,防“裸奔”����、補(bǔ)短板迫在眉睫,85%以上的客戶需要從這開始���。(新京報貝殼財經(jīng)記者 羅亦丹 )
(責(zé)任編輯:劉海美 )
最新評論