近日,“学习通数据库疑发生信息泄露”登上微博热搜。据网络安全公众号“M78安全团队”6月20日发文(现已删除),高校学习软件“学习通”数据库信息疑似大规模泄露,包含姓名、手机号、性别、学校、学号、邮箱等信息,数量疑达1亿7273万条。
用户发现上万使用记录
对此,学习通方面21日发微博回应称,不存储用户明文密码,理论上用户密码不会泄露,“公司确认网上传言密码泄露是不实的”。学习通还称收到用户数据疑似泄露的消息后已连续技术排查十余小时,暂未发现明确的用户信息泄露证据,且公安机关已经介入调查。
学习通对数据泄露传闻的声明
针对学习通的回应,有专家对南都·隐私护卫队表示,只要系统存在漏洞,黑客就有可能模仿用户登录过程,不需要密码也能窃取数据库的信息。而且如果对数据库加密的强度不够,只要有足够的时间和算力,也可以被解开。
文|程雨祺 龚玉文 蒋琳
学习通疑泄露1.7亿用户数据,公安已介入
公开资料显示,“学习通”是北京世纪超星信息技术发展有限责任公司旗下的一款教育软件,在高校中普及率非常高,功能包括线上课程打卡、考试监考等。在苹果应用商店里,学习通App目前获得了12万个评分,平均评分为1.4(满分5分)。低分评价中,不少用户表达了对隐私收集和用户体验的不满。
6月20日,“M78安全团队”发文称,发现学习通的数据库正在被黑客以非法渠道兜售,涵盖姓名、手机号、学号、工号、性别、邮箱、部分用户的密码等,达1亿7273条,首发披露学习通数据库发生信息泄露。
M78安全团队撰文验证可查询相关信息,目前文章已被删除
撰文者验证发现,某知名软件中的社工库机器人已可查询相关信息,查询信息涵盖学号、姓名、性别、学校、手机号等关键信息,与其本人的学习通信息一致。“因此极大概率来说,消息是准确的”。
根据网传截图,南都·隐私护卫队进入售卖学习通用户数据的卖家所在平台,卖家声称“帮朋友卖个数据”,含学习通里的学校/组织名、姓名、手机号、学号/工号、性别、邮箱,共1亿7273万条,含密码1076万。
21日下午,学习通在官博公开回应称,公司于20号晚收到“疑似学习通APP用户数据泄露”的反馈信息,立即组织技术排查,已持续十余个小时,暂未发现明确的用户信息泄露证据。鉴于事情重大,公司已经向公安机关报案,公安机关已经介入调查。
学习通方面还强调,网上传言密码泄露不实。因为其不存储用户明文密码,采取单向加密存储,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文,“理论上用户密码不会泄露”。
尽管学习通方面并未确认发现了用户数据泄露,截至目前,已有多位学习通用户在网上晒出登录后的学习通页面,有的显示使用次数高达十几万次。还有网友称,自己近日收到不少骚扰电话,怀疑与学习通数据泄露有关。
微博网友晒出骚扰电话和异常使用次数
对此,学习通方面解释称,学习通使用量不是“使用学习通的次数”,而是用户使用学习通时向服务器发出的页面请求次数,用户正常学习的话每天会有几百到上千使用量。因此,有几十万使用量“是正常现象,而不是账号泄露的表现”。然而,有阅读时间为0分钟的用户使用量也达到了上万条。
学习通对使用量数据的解释
专家:不存储密码和数据泄露无必然联系
对于学习通方面对于数据泄露事件的回应,北京汉华飞天信安科技有限公司总经理彭根表示,保管密码和数据泄露之间没有必然联系。“只要系统存在漏洞,黑客就有可能模仿用户登录过程,不需要密码也能窃取数据库的信息。”
至于密码存储方式,彭根认为没有所谓“单向加密存储”这样的说法,他猜测可能是指不可逆的方式。但他强调,这种方式如果密码强度不够,只要有足够的时间和算力,也可以被解开。
南都·隐私护卫队从多位大学生处了解到,目前仍有许多高校仍在使用“学习通”,有的高校则向学生发了修改密码的通知。也有不少网友表示,已经注销了学习通账号。
长安大学的一位学生对南都·隐私护卫队表示,她在很多平台上都使用了同一密码,看到新闻后“感觉很慌”。她希望“学习通”先消除公众的疑虑,尽快回应,告知公众泄露到何种程度、最坏影响如何、怎样能快速解决这个问题。
清律律师事务所首席合伙人熊定中表示,既然学习通已经报案,首先要等待公安机关调查结果。如果确实发生了数据泄露事件,要看平台是否存在过错。如果平台已经按持有的用户敏感信息类型,遵循法律要求做到相应安保级别的措施,“可能就没有太多的责任可言,等于说他们也是受害人”。
他还提到,如果接到大量骚扰电话或收到大量非法信息,个人有权利向工信部或网信办举报。“但公安机关对这么大规模的数据库泄露有直接管辖权,所以对于普通用户来说,安心等警方通报就可以了。”
南都·隐私护卫队查询国家信息安全漏洞共享平台发现,2020年3月学习通App曾被发现存在XSS漏洞(跨站脚本攻击,指可利用网站漏洞从用户恶意盗取信息);同年11月又被发现存在信息泄露漏洞,危害级别为“中”。2021年9月和11月,学习通更新了两个补丁。
国家信息安全漏洞共享平台截图
此外,熊定中还指出,数据泄露和系统被攻破是两种情况。后者意味着黑客可能大量、频繁地调取用户记录,利用运行中的App进一步盗取用户个人信息,“这会比仅仅是数据库的泄露更加严重”。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。