學(xué)習(xí)通學(xué)生信息泄露事件追蹤：有賣家連夜出售，宣稱被金主買斷

學(xué)習(xí)通官方微博截圖

“消息多到爆炸，有什么事情直接說(shuō)”“數(shù)據(jù)庫(kù)不用問(wèn)了，已經(jīng)有人決定買斷”……

6月21日晚，個(gè)別倒賣學(xué)習(xí)通數(shù)據(jù)的黑灰產(chǎn)仍不斷釋放最新消息。伴隨1億7273萬(wàn)條學(xué)生信息被曝泄露的消息熱度躥升，買家和賣家同樣開始迅速活躍。

當(dāng)晚22:15分，有買家在黑灰產(chǎn)平臺(tái)上表示，數(shù)據(jù)“已經(jīng)出售，被金主買斷”。

新京報(bào)貝殼財(cái)經(jīng)記者發(fā)現(xiàn)，M78Sec安全團(tuán)隊(duì)率先披露出超星學(xué)習(xí)通信息泄露。6月21日，此次事件爆料人、北京某安全公司創(chuàng)始人邱同學(xué)接受貝殼財(cái)經(jīng)記者采訪表示，自己前幾日在某平臺(tái)發(fā)現(xiàn)了學(xué)習(xí)通APP的數(shù)據(jù)正在被黑客兜售，于是進(jìn)行仔細(xì)查證，經(jīng)多人驗(yàn)證發(fā)現(xiàn)社工庫(kù)（黑客將泄漏的用戶數(shù)據(jù)集中歸檔的數(shù)據(jù)庫(kù)）中泄露的個(gè)別信息與學(xué)習(xí)通信息高度一致，“其實(shí)我是一名創(chuàng)業(yè)的大學(xué)生，很不幸，我的數(shù)據(jù)也在泄露的范圍內(nèi)?！?/p>

針對(duì)此事，學(xué)習(xí)通當(dāng)天回應(yīng)稱，其不存儲(chǔ)用戶明文密碼，采取單向加密存儲(chǔ)，理論上用戶密碼不會(huì)泄露，“公司確認(rèn)網(wǎng)上傳言密碼泄露是不實(shí)的”。學(xué)習(xí)通表示，收到用戶數(shù)據(jù)疑似泄露的消息后已連續(xù)技術(shù)排查十余小時(shí)，暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)，公安機(jī)關(guān)已經(jīng)介入調(diào)查。

黑灰產(chǎn)售賣信息

黑灰產(chǎn)倒賣熱：有賣家宣稱手握學(xué)生信息，有賣家打假

超星學(xué)習(xí)通是不少在校大學(xué)生的常用學(xué)習(xí)軟件。此次被曝?cái)?shù)據(jù)庫(kù)信息遭公開售賣，包含姓名、手機(jī)號(hào)、性別、學(xué)校、學(xué)號(hào)、郵箱等信息1億7273萬(wàn)條。

剛剛大學(xué)畢業(yè)的凱一告訴貝殼財(cái)經(jīng)記者，在校期間需要使用超星學(xué)習(xí)通上課簽到，看課件等，使用學(xué)習(xí)通APP為學(xué)校要求，與學(xué)分有關(guān)，所以很多學(xué)校在用，使用頻率也較高?！懊抗?jié)課都需要”，根據(jù)凱一向記者展示的學(xué)習(xí)通APP截圖，她的使用次數(shù)為3萬(wàn)次。

對(duì)于學(xué)習(xí)通數(shù)據(jù)疑似泄露，不少大學(xué)生用戶表示擔(dān)憂，“從昨天開始一直有騷擾電話”“最近天天有騷擾電話和短信不會(huì)因?yàn)檫@個(gè)吧？”

邱同學(xué)對(duì)貝殼財(cái)經(jīng)記者表示，他在發(fā)現(xiàn)學(xué)習(xí)通數(shù)據(jù)疑似泄露后，從某數(shù)據(jù)庫(kù)中找到了姓名、電話、學(xué)校、學(xué)號(hào)、性別等數(shù)據(jù)。之所以爆出這一事件，是因?yàn)椴粌H在泄露信息中發(fā)現(xiàn)了自己的基本信息，而且經(jīng)比對(duì)后與其本人的超星學(xué)習(xí)通信息一致。他認(rèn)為“極大概率來(lái)說(shuō)，消息是準(zhǔn)確的”，而且“一些名校也沒(méi)有幸免于難”。

貝殼財(cái)經(jīng)記者發(fā)現(xiàn)，有截圖顯示在6月18日或更早，就有賣家在黑灰產(chǎn)平臺(tái)上公開宣稱出售“1億7273條學(xué)習(xí)通數(shù)據(jù)”。

對(duì)于學(xué)習(xí)通回應(yīng)稱“確認(rèn)密碼沒(méi)有泄露”，貝殼財(cái)經(jīng)記者登錄黑灰產(chǎn)平臺(tái)發(fā)現(xiàn)，有賣家在6月21日晚間發(fā)貼圖暗示稱，學(xué)習(xí)通所儲(chǔ)存的加密數(shù)據(jù)可以通過(guò)技術(shù)破譯，所以即便密碼沒(méi)有泄露也不影響黑產(chǎn)獲取學(xué)生數(shù)據(jù)。

貝殼財(cái)經(jīng)記者注意到，由于這一賣家率先拋出售賣學(xué)習(xí)通信息，引來(lái)不少買家詢問(wèn)。22:15分，其在黑灰產(chǎn)平臺(tái)上表示，數(shù)據(jù)“已經(jīng)出售，被金主買斷”。

貝殼財(cái)經(jīng)記者了解到，只要擁有足夠的時(shí)間和算力，用戶密碼可以被解開。例如主流的“彩虹表”密碼破譯技術(shù)，可以把所有可能的密碼計(jì)算出哈希（哈希值是將任意長(zhǎng)度的輸入字符串轉(zhuǎn)換為密碼并進(jìn)行固定輸出的過(guò)程。）并保存在索引文件中，在需要破解時(shí)只需根據(jù)哈希對(duì)索引文件進(jìn)行查詢即可很快獲得明文密碼。

6月21日至22日，貝殼財(cái)經(jīng)記者檢索黑灰產(chǎn)平臺(tái)發(fā)現(xiàn)，隨著學(xué)習(xí)通事件發(fā)酵，越來(lái)越多黑灰產(chǎn)買家和賣家參與其中，有賣家稱“已購(gòu)入數(shù)據(jù)，入庫(kù)后免費(fèi)開放查詢”，有買家在花費(fèi)500美元購(gòu)買到學(xué)習(xí)通數(shù)據(jù)后發(fā)現(xiàn)被騙。對(duì)此，甚至有賣家站出來(lái)“打假”表示，“只有自己的數(shù)據(jù)才是真的。”

邱同學(xué)告訴貝殼財(cái)經(jīng)記者，他之所以能在社工庫(kù)搜索到自己的數(shù)據(jù)，應(yīng)該是數(shù)據(jù)已經(jīng)被黑客賣給了社工庫(kù)的維護(hù)人員。據(jù)他監(jiān)測(cè)，學(xué)習(xí)通的數(shù)據(jù)從最開始的約1300美元價(jià)格經(jīng)過(guò)幾輪倒賣，已經(jīng)降價(jià)到3000元人民幣，“應(yīng)該已經(jīng)被轉(zhuǎn)手過(guò)幾次了”。

邱同學(xué)稱，此事引爆輿論并不是他本意，事件發(fā)酵的速度超出自己預(yù)期，也說(shuō)明大家對(duì)個(gè)人隱私泄露越來(lái)越關(guān)注。“我認(rèn)為這件事情給學(xué)校和平臺(tái)都敲響了警鐘，核心機(jī)密數(shù)據(jù)不應(yīng)儲(chǔ)存于商業(yè)公司之手，要切實(shí)把網(wǎng)絡(luò)安全建設(shè)落地?！?/p>

違規(guī)收集個(gè)人信息，學(xué)習(xí)通去年被工信部要求整改

貝殼財(cái)經(jīng)記者下載學(xué)習(xí)通APP看到，其在蘋果ios商店中的評(píng)分只有1.4分。最新評(píng)論中不少用戶指出“侵犯隱私”，不過(guò)更多的還是用戶吐槽該APP使用不方便，包括“考試時(shí)被強(qiáng)制交卷了，動(dòng)不動(dòng)說(shuō)我切屏”。

貝殼財(cái)經(jīng)體驗(yàn)其使用過(guò)程看到，學(xué)習(xí)通APP進(jìn)行個(gè)人注冊(cè)需提供手機(jī)號(hào)碼，單位用戶則需在此基礎(chǔ)上提供個(gè)人姓名、登錄賬號(hào)（學(xué)號(hào)/工號(hào)）以便單位管理統(tǒng)計(jì)。當(dāng)用戶使用學(xué)習(xí)通中的打卡簽到、圖片上傳、超星課堂等功能時(shí)，可能會(huì)需要開啟位置信息、攝像頭、相冊(cè)、麥克風(fēng)等訪問(wèn)權(quán)限。

值得一提的是，早在2021年1月，學(xué)習(xí)通APP（版本:4.8.1)曾因違規(guī)收集個(gè)人信息，被工信部通報(bào)，并要求其整改。同年7月，學(xué)習(xí)通（版本：4.8.5）因工信部檢查發(fā)現(xiàn)仍涉及違規(guī)使用個(gè)人信息未完成整改，再次被通報(bào)。

6月22日，貝殼財(cái)經(jīng)記者登錄國(guó)家信息安全漏洞共享平臺(tái)發(fā)現(xiàn)，超星學(xué)習(xí)通在2020年至2021年間分別被曝出過(guò)存在XSS漏洞、信息泄露漏洞和邏輯缺陷漏洞。其中，信息泄露漏洞主要為“超星學(xué)習(xí)通App存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息”。此外，邏輯缺陷漏洞為“超星學(xué)習(xí)通應(yīng)用系統(tǒng)平臺(tái)存在邏輯缺陷漏洞，攻擊者可利用漏洞導(dǎo)致任意用戶賬戶登錄及泄露用戶信息?！?/p>

根據(jù)國(guó)家信息安全漏洞共享平臺(tái)記錄，超星學(xué)習(xí)通在漏洞公布后曾更新過(guò)補(bǔ)丁。

國(guó)家信息安全漏洞共享平臺(tái)顯示超星學(xué)習(xí)通曾存在信息泄露漏洞

數(shù)據(jù)泄露有內(nèi)外因，防數(shù)據(jù)“裸奔”迫在眉睫

貝殼財(cái)經(jīng)記者調(diào)查發(fā)現(xiàn)，盡管目前無(wú)法確認(rèn)黑灰產(chǎn)賣家標(biāo)榜的“學(xué)習(xí)通數(shù)據(jù)”是否為真，但平臺(tái)上已經(jīng)不乏可能被泄露的學(xué)生個(gè)人信息，并幾經(jīng)倒手。記者注意到，黑灰產(chǎn)平臺(tái)中，學(xué)生數(shù)據(jù)按本科生、碩士、博士、畢業(yè)生等被分類售賣。記者隨即瀏覽幾名賣家提供的樣本信息發(fā)現(xiàn)，一些甚至包括大學(xué)生的實(shí)習(xí)經(jīng)歷和中小學(xué)生的家長(zhǎng)信息。

奇安信數(shù)據(jù)安全專家、數(shù)據(jù)安全子公司副總經(jīng)理姚磊對(duì)貝殼財(cái)經(jīng)記者表示，從過(guò)去多起數(shù)據(jù)泄露事件來(lái)看，通常造成企業(yè)數(shù)據(jù)泄露的原因既可能是外部的，也可能是內(nèi)部的，也存在二者皆有。攻擊者可能利用目標(biāo)系統(tǒng)漏洞或者竊取到的特權(quán)賬戶，獲取了相應(yīng)數(shù)據(jù)庫(kù)管理員的權(quán)限，從而完成拖庫(kù)行為?！按祟愂录饲耙矔r(shí)有發(fā)生，比如領(lǐng)英數(shù)據(jù)泄露事件被證實(shí)為黑客利用其API漏洞所致。因此，企業(yè)應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全防護(hù)力度，避免大量使用弱口令，對(duì)于發(fā)現(xiàn)的安全隱患要及時(shí)處置?！?/p>

姚磊稱，內(nèi)部原因也要分為兩種情況：第一種有可能是運(yùn)維人員的不當(dāng)操作致使數(shù)據(jù)意外泄露；第二種則是有內(nèi)鬼作祟，如果其內(nèi)部權(quán)限管控缺失或者行為審計(jì)有紕漏，內(nèi)部員工（如數(shù)據(jù)庫(kù)管理員）可以利用自身系統(tǒng)權(quán)限，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)批量下載下來(lái)，然后進(jìn)行倒賣。從這個(gè)角度來(lái)看，企業(yè)應(yīng)采用技術(shù)手段，加強(qiáng)自身內(nèi)部員工的權(quán)限管理和行為審計(jì)，對(duì)于某些超越權(quán)限或者高危操作應(yīng)嚴(yán)格控制。

在超星學(xué)習(xí)通被曝可能存在信息泄露后，不少學(xué)生用戶在社交平臺(tái)公開發(fā)文質(zhì)疑學(xué)習(xí)通的“使用次數(shù)”存在問(wèn)題。網(wǎng)友“我是誰(shuí)小怪獸”稱，自己只在去圖書館需要預(yù)約時(shí)才使用學(xué)習(xí)通，卻顯示了4926次使用。網(wǎng)友“奶茶不要全糖要微糖”表示，自己的學(xué)習(xí)通使用次數(shù)有6萬(wàn)次。

對(duì)此，學(xué)習(xí)通回應(yīng)稱，使用量不是”使用學(xué)習(xí)通的次數(shù)”，而是用戶使用學(xué)習(xí)通時(shí)向服務(wù)器發(fā)出的頁(yè)面請(qǐng)求次數(shù)，類似于互聯(lián)網(wǎng)請(qǐng)求的pv值（pageview），學(xué)習(xí)者有幾十萬(wàn)學(xué)習(xí)通使用量是正?，F(xiàn)象，而不是賬號(hào)泄露的表現(xiàn)。

邱同學(xué)告訴貝殼財(cái)經(jīng)記者，學(xué)習(xí)通的使用次數(shù)和信息泄露應(yīng)該沒(méi)有必然聯(lián)系，“這次事件大概率是黑客入侵所致?！?/p>

他表示，自己參與過(guò)大量攻防演練，發(fā)現(xiàn)國(guó)內(nèi)各大高校還需要將網(wǎng)絡(luò)安全建設(shè)落到實(shí)處。“具體措施的建構(gòu)，行業(yè)標(biāo)準(zhǔn)的制定需要有識(shí)之士共同努力。國(guó)家的網(wǎng)絡(luò)安全建設(shè)有待各方長(zhǎng)期共同發(fā)力，為更美好、更安全的互聯(lián)網(wǎng)而戰(zhàn)?！?/p>

奇安信集團(tuán)副總裁、創(chuàng)新BG負(fù)責(zé)人孔德亮表示，近年來(lái)媒體多次曝出的信息泄露事件再次表明，很多企業(yè)機(jī)構(gòu)的數(shù)據(jù)處在“裸奔”狀態(tài)，這是數(shù)據(jù)安全當(dāng)前的首要問(wèn)題，防“裸奔”、補(bǔ)短板迫在眉睫，85%以上的客戶需要從這開始。

記者聯(lián)系郵箱：luoyidan@xjbnews.com

新京報(bào)貝殼財(cái)經(jīng)記者 羅亦丹

編輯 王進(jìn)雨 宋鈺婷

校對(duì) 陳荻雁