对于学习通的否认,有学者对南都·隐私护卫队表示,只要系统存在漏洞,黑客就有也许模仿用户注册过程,不应该密码也能泄露数据库的信息。而且即使对数据库加密的效率不够,只要有足够的时间和算力,也可以被解开。
学习通疑泄露1.7亿客户数据,我们已介入
公开资料显示,“学习通”是上海世纪超星信息科技演进有限责任公司旗下的一款教育工具,在高校中普及率相当高,功能包含线上课程打卡、考试监考等。在苹果应用商店里,学习通App目前取得了12万个评分,平均评分为1.4(满分5分)。低分评价中,不少用户表达了对隐私收集和客户体验的不满。
6月20日,“M78安全团队”发文称,发现学习通的数据库正在被黑客以违法渠道售卖,涵盖姓名、手机号、学号、工号、性别、邮箱、部分客户的密码等,达1亿7273条,首发披露学习通数据库出现信息泄露。
M78安全团队撰文验证可查询相关信息,目前文章已被删除
撰文者验证发现,某知名软件中的社工库机器人已可查询相关信息,查询信息包括学号、姓名、性别、学校、手机号等关键信息,与其本人的学习通信息一致。“因此极大概率来说,消息是具体的”。
根据网传图片,南都·隐私护卫队进入售卖学习通用户数据的买家所在系统,卖家声称“帮亲戚卖个数据”,含学习通里的大学/组织名、姓名、手机号、学号/工号、性别、邮箱,共1亿7273万条,含密码1076万。
21日上午,学习通在官博公开否认称,公司于20号晚收到“疑似学习通APP客户数据泄露”的反馈信息,立即组织技术排查,已大幅十余个小时,暂未看到明确的用户信息泄露证据。鉴于事情重大,公司即将向我们机关立案,我们机关尚未介入调查。
学习通方面还指出,网上传言密码泄露不实。因为其不储存用户明文密码,采取双向加密传输,在这些科技方式下仍然公司外部人员(比如程序员)也能够取得密码明文,“理论上客户密码不会泄露”。
虽然学习通方面并未确定看到了客户数据泄露,截至现在,已有多位学习通用户在网上晒出登陆后的学习通页面黑客查通话记录靠谱吗黑客查通话记录靠谱吗,有的显示使用数量高达十几万次。还有网民称,自己日前收到不少威胁电话,怀疑与学习通数据泄露有关。
微博网民晒出威胁电话和异常使用次数
对此,学习通方面解释称,学习通使用量不是“使用学习通的数量”,而是客户使用学习通时向服务器发出的页面请求数量,用户正常学习的话经常会有几百到上千使用量。因此,有几十万使用量“是正常现象,而不是账号泄露的体现”。然而,有阅读时间为0分钟的用户使用量也超过了上万条。
学习通对使用量数据的解释
专家:不储存密码和数据外泄无必然联系
针对学习通方应对于数据泄露事故的否认,北京汉华飞天信安科技有限公司总副总彭根表示,保管密码和数据泄密之间没有必然联系。“只要系统存在漏洞,黑客就有也许模仿用户注册过程,不应该密码也能泄露数据库的信息。”
至于密码存储方法,彭根认为没有所谓“单向加密存储”这样的表述,他推测或许是指不可逆的方法。但他指出,这种方法即便密码强度不够,只要有足够的时间和算力,也可以被解开。
南都·隐私护卫队从多位大学生处知道到,目前仍有许多大学仍在使用“学习通”,有的大学则向学生发了更改密码的通知。也有不少网民表示,已经注销了学习通账号。
长安大学的一位师生对南都·隐私护卫队表示,她在这些系统上都使用了同一密码,看到新闻后“感觉很慌”。她期望“学习通”先克服公众的顾虑,尽快回应,告知公众泄露到什么程度、最坏影响如何、怎样能迅速解决这个难题。
清律律师事务所首席合伙人熊定中表示,既然学习通终于报案,首先要期待我们机关调查结果。如果确实出现了数据泄露风波,要看平台是否存在过错。如果系统尚未按持有的客户敏感信息类别,遵循法律规定做到相应安保级别的举措,“可能就没有很多的责任可言,等于说她们只是受害人”。
他还提及,如果接到长期威胁电话或收到长期违规信息,个人有权利向工信部或网信办举报。“但我们机关对这样大体量的数据库泄露有直接管辖权,所以针对普通用户来说,安心等警方通报就可以了。”
南都·隐私护卫队查询国家信息安全漏洞共享系统看到,2020年3月学习通App曾被看到存在XSS漏洞(跨站脚本攻击,指可运用网页漏洞从客户恶意盗用信息);同年11月又被看到存在信息窃取漏洞,危害级别为“中”。2021年9月和11月,学习通更新了两个补丁。
国家信息安全漏洞共享系统截图
另外,熊定中还强调,数据泄露和平台被攻破是两种状况。后者意味着黑客可能长期、频繁地调取用户记录,利用运行中的App进一步盗取客户个人信息,“这会比只是是数据库的泄露更加严重”。采写:实习生程雨祺龚玉文南都记者蒋琳
下一篇:没有了