信息來源:安全內(nèi)參
近日,“學(xué)習(xí)通數(shù)據(jù)庫疑發(fā)生信息泄露”登上微博熱搜。據(jù)網(wǎng)絡(luò)安全公眾號“M78安全團(tuán)隊”6月20日發(fā)文(現(xiàn)已刪除),高校學(xué)習(xí)軟件“學(xué)習(xí)通”數(shù)據(jù)庫信息疑似大規(guī)模泄露,包含姓名、手機(jī)號、性別、學(xué)校、學(xué)號、郵箱等信息,數(shù)量疑達(dá)1億7273萬條。
用戶發(fā)現(xiàn)上萬使用記錄
對此,學(xué)習(xí)通方面21日發(fā)微博回應(yīng)稱,不存儲用戶明文密碼,理論上用戶密碼不會泄露,“公司確認(rèn)網(wǎng)上傳言密碼泄露是不實(shí)的”。學(xué)習(xí)通還稱收到用戶數(shù)據(jù)疑似泄露的消息后已連續(xù)技術(shù)排查十余小時,暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù),且公安機(jī)關(guān)已經(jīng)介入調(diào)查。
學(xué)習(xí)通對數(shù)據(jù)泄露傳聞的聲明
針對學(xué)習(xí)通的回應(yīng),有專家對南都·隱私護(hù)衛(wèi)隊表示,只要系統(tǒng)存在漏洞,黑客就有可能模仿用戶登錄過程,不需要密碼也能竊取數(shù)據(jù)庫的信息。而且如果對數(shù)據(jù)庫加密的強(qiáng)度不夠,只要有足夠的時間和算力,也可以被解開。
文|程雨祺 龔玉文 蔣琳
學(xué)習(xí)通疑泄露1.7億用戶數(shù)據(jù),公安已介入
公開資料顯示,“學(xué)習(xí)通”是北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司旗下的一款教育軟件,在高校中普及率非常高,功能包括線上課程打卡、考試監(jiān)考等。在蘋果應(yīng)用商店里,學(xué)習(xí)通App目前獲得了12萬個評分,平均評分為1.4(滿分5分)。低分評價中,不少用戶表達(dá)了對隱私收集和用戶體驗的不滿。
6月20日,“M78安全團(tuán)隊”發(fā)文稱,發(fā)現(xiàn)學(xué)習(xí)通的數(shù)據(jù)庫正在被黑客以非法渠道兜售,涵蓋姓名、手機(jī)號、學(xué)號、工號、性別、郵箱、部分用戶的密碼等,達(dá)1億7273條,首發(fā)披露學(xué)習(xí)通數(shù)據(jù)庫發(fā)生信息泄露。
M78安全團(tuán)隊撰文驗證可查詢相關(guān)信息,目前文章已被刪除
撰文者驗證發(fā)現(xiàn),某知名軟件中的社工庫機(jī)器人已可查詢相關(guān)信息,查詢信息涵蓋學(xué)號、姓名、性別、學(xué)校、手機(jī)號等關(guān)鍵信息,與其本人的學(xué)習(xí)通信息一致?!耙虼藰O大概率來說,消息是準(zhǔn)確的”。
根據(jù)網(wǎng)傳截圖,南都·隱私護(hù)衛(wèi)隊進(jìn)入售賣學(xué)習(xí)通用戶數(shù)據(jù)的賣家所在平臺,賣家聲稱“幫朋友賣個數(shù)據(jù)”,含學(xué)習(xí)通里的學(xué)校/組織名、姓名、手機(jī)號、學(xué)號/工號、性別、郵箱,共1億7273萬條,含密碼1076萬。
21日下午,學(xué)習(xí)通在官博公開回應(yīng)稱,公司于20號晚收到“疑似學(xué)習(xí)通APP用戶數(shù)據(jù)泄露”的反饋信息,立即組織技術(shù)排查,已持續(xù)十余個小時,暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)。鑒于事情重大,公司已經(jīng)向公安機(jī)關(guān)報案,公安機(jī)關(guān)已經(jīng)介入調(diào)查。
學(xué)習(xí)通方面還強(qiáng)調(diào),網(wǎng)上傳言密碼泄露不實(shí)。因為其不存儲用戶明文密碼,采取單向加密存儲,在這種技術(shù)手段下即使公司內(nèi)部員工(包括程序員)也無法獲得密碼明文,“理論上用戶密碼不會泄露”。
盡管學(xué)習(xí)通方面并未確認(rèn)發(fā)現(xiàn)了用戶數(shù)據(jù)泄露,截至目前,已有多位學(xué)習(xí)通用戶在網(wǎng)上曬出登錄后的學(xué)習(xí)通頁面,有的顯示使用次數(shù)高達(dá)十幾萬次。還有網(wǎng)友稱,自己近日收到不少騷擾電話,懷疑與學(xué)習(xí)通數(shù)據(jù)泄露有關(guān)。
微博網(wǎng)友曬出騷擾電話和異常使用次數(shù)
對此,學(xué)習(xí)通方面解釋稱,學(xué)習(xí)通使用量不是“使用學(xué)習(xí)通的次數(shù)”,而是用戶使用學(xué)習(xí)通時向服務(wù)器發(fā)出的頁面請求次數(shù),用戶正常學(xué)習(xí)的話每天會有幾百到上千使用量。因此,有幾十萬使用量“是正?,F(xiàn)象,而不是賬號泄露的表現(xiàn)”。然而,有閱讀時間為0分鐘的用戶使用量也達(dá)到了上萬條。
學(xué)習(xí)通對使用量數(shù)據(jù)的解釋
專家:不存儲密碼和數(shù)據(jù)泄露無必然聯(lián)系
對于學(xué)習(xí)通方面對于數(shù)據(jù)泄露事件的回應(yīng),北京漢華飛天信安科技有限公司總經(jīng)理彭根表示,保管密碼和數(shù)據(jù)泄露之間沒有必然聯(lián)系?!爸灰到y(tǒng)存在漏洞,黑客就有可能模仿用戶登錄過程,不需要密碼也能竊取數(shù)據(jù)庫的信息。”
至于密碼存儲方式,彭根認(rèn)為沒有所謂“單向加密存儲”這樣的說法,他猜測可能是指不可逆的方式。但他強(qiáng)調(diào),這種方式如果密碼強(qiáng)度不夠,只要有足夠的時間和算力,也可以被解開。
南都·隱私護(hù)衛(wèi)隊從多位大學(xué)生處了解到,目前仍有許多高校仍在使用“學(xué)習(xí)通”,有的高校則向?qū)W生發(fā)了修改密碼的通知。也有不少網(wǎng)友表示,已經(jīng)注銷了學(xué)習(xí)通賬號。
長安大學(xué)的一位學(xué)生對南都·隱私護(hù)衛(wèi)隊表示,她在很多平臺上都使用了同一密碼,看到新聞后“感覺很慌”。她希望“學(xué)習(xí)通”先消除公眾的疑慮,盡快回應(yīng),告知公眾泄露到何種程度、最壞影響如何、怎樣能快速解決這個問題。
清律律師事務(wù)所首席合伙人熊定中表示,既然學(xué)習(xí)通已經(jīng)報案,首先要等待公安機(jī)關(guān)調(diào)查結(jié)果。如果確實(shí)發(fā)生了數(shù)據(jù)泄露事件,要看平臺是否存在過錯。如果平臺已經(jīng)按持有的用戶敏感信息類型,遵循法律要求做到相應(yīng)安保級別的措施,“可能就沒有太多的責(zé)任可言,等于說他們也是受害人”。
他還提到,如果接到大量騷擾電話或收到大量非法信息,個人有權(quán)利向工信部或網(wǎng)信辦舉報?!暗矙C(jī)關(guān)對這么大規(guī)模的數(shù)據(jù)庫泄露有直接管轄權(quán),所以對于普通用戶來說,安心等警方通報就可以了。”
南都·隱私護(hù)衛(wèi)隊查詢國家信息安全漏洞共享平臺發(fā)現(xiàn),2020年3月學(xué)習(xí)通App曾被發(fā)現(xiàn)存在XSS漏洞(跨站腳本攻擊,指可利用網(wǎng)站漏洞從用戶惡意盜取信息);同年11月又被發(fā)現(xiàn)存在信息泄露漏洞,危害級別為“中”。2021年9月和11月,學(xué)習(xí)通更新了兩個補(bǔ)丁。
國家信息安全漏洞共享平臺截圖
此外,熊定中還指出,數(shù)據(jù)泄露和系統(tǒng)被攻破是兩種情況。后者意味著黑客可能大量、頻繁地調(diào)取用戶記錄,利用運(yùn)行中的App進(jìn)一步盜取用戶個人信息,“這會比僅僅是數(shù)據(jù)庫的泄露更加嚴(yán)重”。