学习通学生信息泄露事件追踪:有卖家连夜出售,宣称被金主买断

学习通官方微博截图
学习通官方微博截图

“消息多到爆炸,有什么事情直接说”“数据库不用问了,已经有人决定买断”……

6月21日晚,个别倒卖学习通数据的黑灰产仍不断释放最新消息。伴随1亿7273万条学生信息被曝泄露的消息热度蹿升,买家和卖家同样开始迅速活跃。

当晚22:15分,有买家在黑灰产平台上表示,数据“已经出售,被金主买断”。

新京报贝壳财经记者发现,M78Sec安全团队率先披露出超星学习通信息泄露。6月21日,此次事件爆料人、北京某安全公司创始人邱同学接受贝壳财经记者采访表示,自己前几日在某平台发现了学习通APP的数据正在被黑客兜售,于是进行仔细查证,经多人验证发现社工库(黑客将泄漏的用户数据集中归档的数据库)中泄露的个别信息与学习通信息高度一致,“其实我是一名创业的大学生,很不幸,我的数据也在泄露的范围内。”

针对此事,学习通当天回应称,其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,“公司确认网上传言密码泄露是不实的”。学习通表示,收到用户数据疑似泄露的消息后已连续技术排查十余小时,暂未发现明确的用户信息泄露证据,公安机关已经介入调查。

黑灰产售卖信息黑灰产售卖信息

黑灰产倒卖热:有卖家宣称手握学生信息,有卖家打假

超星学习通是不少在校大学生的常用学习软件。此次被曝数据库信息遭公开售卖,包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。

刚刚大学毕业的凯一告诉贝壳财经记者,在校期间需要使用超星学习通上课签到,看课件等,使用学习通APP为学校要求,与学分有关,所以很多学校在用,使用频率也较高。“每节课都需要”,根据凯一向记者展示的学习通APP截图,她的使用次数为3万次。

对于学习通数据疑似泄露,不少大学生用户表示担忧,“从昨天开始一直有骚扰电话”“最近天天有骚扰电话和短信不会因为这个吧?”

邱同学对贝壳财经记者表示,他在发现学习通数据疑似泄露后,从某数据库中找到了姓名、电话、学校、学号、性别等数据。之所以爆出这一事件,是因为不仅在泄露信息中发现了自己的基本信息,而且经比对后与其本人的超星学习通信息一致。他认为“极大概率来说,消息是准确的”,而且“一些名校也没有幸免于难”。

贝壳财经记者发现,有截图显示在6月18日或更早,就有卖家在黑灰产平台上公开宣称出售“1亿7273条学习通数据”。

对于学习通回应称“确认密码没有泄露”,贝壳财经记者登录黑灰产平台发现,有卖家在6月21日晚间发贴图暗示称,学习通所储存的加密数据可以通过技术破译,所以即便密码没有泄露也不影响黑产获取学生数据。

贝壳财经记者注意到,由于这一卖家率先抛出售卖学习通信息,引来不少买家询问。22:15分,其在黑灰产平台上表示,数据“已经出售,被金主买断”。

贝壳财经记者了解到,只要拥有足够的时间和算力,用户密码可以被解开。例如主流的“彩虹表”密码破译技术,可以把所有可能的密码计算出哈希(哈希值是将任意长度的输入字符串转换为密码并进行固定输出的过程。)并保存在索引文件中,在需要破解时只需根据哈希对索引文件进行查询即可很快获得明文密码。

6月21日至22日,贝壳财经记者检索黑灰产平台发现,随着学习通事件发酵,越来越多黑灰产买家和卖家参与其中,有卖家称“已购入数据,入库后免费开放查询”,有买家在花费500美元购买到学习通数据后发现被骗。对此,甚至有卖家站出来“打假”表示,“只有自己的数据才是真的。”

邱同学告诉贝壳财经记者,他之所以能在社工库搜索到自己的数据,应该是数据已经被黑客卖给了社工库的维护人员。据他监测,学习通的数据从最开始的约1300美元价格经过几轮倒卖,已经降价到3000元人民币,“应该已经被转手过几次了”。

邱同学称,此事引爆舆论并不是他本意,事件发酵的速度超出自己预期,也说明大家对个人隐私泄露越来越关注。“我认为这件事情给学校和平台都敲响了警钟,核心机密数据不应储存于商业公司之手,要切实把网络安全建设落地。”

违规收集个人信息,学习通去年被工信部要求整改

贝壳财经记者下载学习通APP看到,其在苹果ios商店中的评分只有1.4分。最新评论中不少用户指出“侵犯隐私”,不过更多的还是用户吐槽该APP使用不方便,包括“考试时被强制交卷了,动不动说我切屏”。

贝壳财经体验其使用过程看到,学习通APP进行个人注册需提供手机号码,单位用户则需在此基础上提供个人姓名、登录账号(学号/工号)以便单位管理统计。当用户使用学习通中的打卡签到、图片上传、超星课堂等功能时,可能会需要开启位置信息、摄像头、相册、麦克风等访问权限。

值得一提的是,早在2021年1月,学习通APP(版本:4.8.1)曾因违规收集个人信息,被工信部通报,并要求其整改。同年7月,学习通(版本:4.8.5)因工信部检查发现仍涉及违规使用个人信息未完成整改,再次被通报。

6月22日,贝壳财经记者登录国家信息安全漏洞共享平台发现,超星学习通在2020年至2021年间分别被曝出过存在XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。其中,信息泄露漏洞主要为“超星学习通App存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息”。此外,逻辑缺陷漏洞为“超星学习通应用系统平台存在逻辑缺陷漏洞,攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。”

根据国家信息安全漏洞共享平台记录,超星学习通在漏洞公布后曾更新过补丁。

国家信息安全漏洞共享平台显示超星学习通曾存在信息泄露漏洞国家信息安全漏洞共享平台显示超星学习通曾存在信息泄露漏洞

数据泄露有内外因,防数据“裸奔”迫在眉睫

贝壳财经记者调查发现,尽管目前无法确认黑灰产卖家标榜的“学习通数据”是否为真,但平台上已经不乏可能被泄露的学生个人信息,并几经倒手。记者注意到,黑灰产平台中,学生数据按本科生、硕士、博士、毕业生等被分类售卖。记者随即浏览几名卖家提供的样本信息发现,一些甚至包括大学生的实习经历和中小学生的家长信息。

奇安信数据安全专家、数据安全子公司副总经理姚磊对贝壳财经记者表示,从过去多起数据泄露事件来看,通常造成企业数据泄露的原因既可能是外部的,也可能是内部的,也存在二者皆有。攻击者可能利用目标系统漏洞或者窃取到的特权账户,获取了相应数据库管理员的权限,从而完成拖库行为。“此类事件此前也时有发生,比如领英数据泄露事件被证实为黑客利用其API漏洞所致。因此,企业应当加强数据安全防护力度,避免大量使用弱口令,对于发现的安全隐患要及时处置。”

姚磊称,内部原因也要分为两种情况:第一种有可能是运维人员的不当操作致使数据意外泄露;第二种则是有内鬼作祟,如果其内部权限管控缺失或者行为审计有纰漏,内部员工(如数据库管理员)可以利用自身系统权限,将数据库中的数据批量下载下来,然后进行倒卖。从这个角度来看,企业应采用技术手段,加强自身内部员工的权限管理和行为审计,对于某些超越权限或者高危操作应严格控制。

在超星学习通被曝可能存在信息泄露后,不少学生用户在社交平台公开发文质疑学习通的“使用次数”存在问题。网友“我是谁小怪兽”称,自己只在去图书馆需要预约时才使用学习通,却显示了4926次使用。网友“奶茶不要全糖要微糖”表示,自己的学习通使用次数有6万次。

对此,学习通回应称,使用量不是”使用学习通的次数”,而是用户使用学习通时向服务器发出的页面请求次数,类似于互联网请求的pv值(pageview),学习者有几十万学习通使用量是正常现象,而不是账号泄露的表现。

邱同学告诉贝壳财经记者,学习通的使用次数和信息泄露应该没有必然联系,“这次事件大概率是黑客入侵所致。”

他表示,自己参与过大量攻防演练,发现国内各大高校还需要将网络安全建设落到实处。“具体措施的建构,行业标准的制定需要有识之士共同努力。国家的网络安全建设有待各方长期共同发力,为更美好、更安全的互联网而战。”

奇安信集团副总裁、创新BG负责人孔德亮表示,近年来媒体多次曝出的信息泄露事件再次表明,很多企业机构的数据处在“裸奔”状态,这是数据安全当前的首要问题,防“裸奔”、补短板迫在眉睫,85%以上的客户需要从这开始。