學習通官方微博截圖

“消息多到爆炸，有什么事情直接說”“數(shù)據(jù)庫不用問了，已經(jīng)有人決定買斷”……

6月21日晚，個別倒賣學習通數(shù)據(jù)的黑灰產(chǎn)仍不斷釋放最新消息。伴隨1億7273萬條學生信息被曝泄露的消息熱度躥升，買家和賣家同樣開始迅速活躍。

當晚22:15分，有買家在黑灰產(chǎn)平臺上表示，數(shù)據(jù)“已經(jīng)出售，被金主買斷”。

新京報貝殼財經(jīng)記者發(fā)現(xiàn)，M78Sec安全團隊率先披露出超星學習通信息泄露。6月21日，此次事件爆料人、北京某安全公司創(chuàng)始人邱同學接受貝殼財經(jīng)記者采訪表示，自己前幾日在某平臺發(fā)現(xiàn)了學習通APP的數(shù)據(jù)正在被黑客兜售，于是進行仔細查證，經(jīng)多人驗證發(fā)現(xiàn)社工庫（黑客將泄漏的用戶數(shù)據(jù)集中歸檔的數(shù)據(jù)庫）中泄露的個別信息與學習通信息高度一致，“其實我是一名創(chuàng)業(yè)的大學生，很不幸，我的數(shù)據(jù)也在泄露的范圍內(nèi)?！?/p>

針對此事，學習通當天回應稱，其不存儲用戶明文密碼，采取單向加密存儲，理論上用戶密碼不會泄露，“公司確認網(wǎng)上傳言密碼泄露是不實的”。學習通表示，收到用戶數(shù)據(jù)疑似泄露的消息后已連續(xù)技術排查十余小時，暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)，公安機關已經(jīng)介入調(diào)查。

黑灰產(chǎn)售賣信息

黑灰產(chǎn)倒賣熱：有賣家宣稱手握學生信息，有賣家打假

超星學習通是不少在校大學生的常用學習軟件。此次被曝數(shù)據(jù)庫信息遭公開售賣，包含姓名、手機號、性別、學校、學號、郵箱等信息1億7273萬條。

剛剛大學畢業(yè)的凱一告訴貝殼財經(jīng)記者，在校期間需要使用超星學習通上課簽到，看課件等，使用學習通APP為學校要求，與學分有關，所以很多學校在用，使用頻率也較高?！懊抗?jié)課都需要”，根據(jù)凱一向記者展示的學習通APP截圖，她的使用次數(shù)為3萬次。

對于學習通數(shù)據(jù)疑似泄露，不少大學生用戶表示擔憂，“從昨天開始一直有騷擾電話”“最近天天有騷擾電話和短信不會因為這個吧？”

邱同學對貝殼財經(jīng)記者表示，他在發(fā)現(xiàn)學習通數(shù)據(jù)疑似泄露后，從某數(shù)據(jù)庫中找到了姓名、電話、學校、學號、性別等數(shù)據(jù)。之所以爆出這一事件，是因為不僅在泄露信息中發(fā)現(xiàn)了自己的基本信息，而且經(jīng)比對后與其本人的超星學習通信息一致。他認為“極大概率來說，消息是準確的”，而且“一些名校也沒有幸免于難”。

貝殼財經(jīng)記者發(fā)現(xiàn)，有截圖顯示在6月18日或更早，就有賣家在黑灰產(chǎn)平臺上公開宣稱出售“1億7273條學習通數(shù)據(jù)”。

對于學習通回應稱“確認密碼沒有泄露”，貝殼財經(jīng)記者登錄黑灰產(chǎn)平臺發(fā)現(xiàn)，有賣家在6月21日晚間發(fā)貼圖暗示稱，學習通所儲存的加密數(shù)據(jù)可以通過技術破譯，所以即便密碼沒有泄露也不影響黑產(chǎn)獲取學生數(shù)據(jù)。

貝殼財經(jīng)記者注意到，由于這一賣家率先拋出售賣學習通信息，引來不少買家詢問。22:15分，其在黑灰產(chǎn)平臺上表示，數(shù)據(jù)“已經(jīng)出售，被金主買斷”。

貝殼財經(jīng)記者了解到，只要擁有足夠的時間和算力，用戶密碼可以被解開。例如主流的“彩虹表”密碼破譯技術，可以把所有可能的密碼計算出哈希（哈希值是將任意長度的輸入字符串轉換為密碼并進行固定輸出的過程。）并保存在索引文件中，在需要破解時只需根據(jù)哈希對索引文件進行查詢即可很快獲得明文密碼。

6月21日至22日，貝殼財經(jīng)記者檢索黑灰產(chǎn)平臺發(fā)現(xiàn)，隨著學習通事件發(fā)酵，越來越多黑灰產(chǎn)買家和賣家參與其中，有賣家稱“已購入數(shù)據(jù)，入庫后免費開放查詢”，有買家在花費500美元購買到學習通數(shù)據(jù)后發(fā)現(xiàn)被騙。對此，甚至有賣家站出來“打假”表示，“只有自己的數(shù)據(jù)才是真的?！?/p>

邱同學告訴貝殼財經(jīng)記者，他之所以能在社工庫搜索到自己的數(shù)據(jù)，應該是數(shù)據(jù)已經(jīng)被黑客賣給了社工庫的維護人員。據(jù)他監(jiān)測，學習通的數(shù)據(jù)從最開始的約1300美元價格經(jīng)過幾輪倒賣，已經(jīng)降價到3000元人民幣，“應該已經(jīng)被轉手過幾次了”。

邱同學稱，此事引爆輿論并不是他本意，事件發(fā)酵的速度超出自己預期，也說明大家對個人隱私泄露越來越關注?！拔艺J為這件事情給學校和平臺都敲響了警鐘，核心機密數(shù)據(jù)不應儲存于商業(yè)公司之手，要切實把網(wǎng)絡安全建設落地?！?/p>

違規(guī)收集個人信息，學習通去年被工信部要求整改

貝殼財經(jīng)記者下載學習通APP看到，其在蘋果ios商店中的評分只有1.4分。最新評論中不少用戶指出“侵犯隱私”，不過更多的還是用戶吐槽該APP使用不方便，包括“考試時被強制交卷了，動不動說我切屏”。

貝殼財經(jīng)體驗其使用過程看到，學習通APP進行個人注冊需提供手機號碼，單位用戶則需在此基礎上提供個人姓名、登錄賬號（學號/工號）以便單位管理統(tǒng)計。當用戶使用學習通中的打卡簽到、圖片上傳、超星課堂等功能時，可能會需要開啟位置信息、攝像頭、相冊、麥克風等訪問權限。

值得一提的是，早在2021年1月，學習通APP（版本:4.8.1)曾因違規(guī)收集個人信息，被工信部通報，并要求其整改。同年7月，學習通（版本：4.8.5）因工信部檢查發(fā)現(xiàn)仍涉及違規(guī)使用個人信息未完成整改，再次被通報。

6月22日，貝殼財經(jīng)記者登錄國家信息安全漏洞共享平臺發(fā)現(xiàn)，超星學習通在2020年至2021年間分別被曝出過存在XSS漏洞、信息泄露漏洞和邏輯缺陷漏洞。其中，信息泄露漏洞主要為“超星學習通App存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息”。此外，邏輯缺陷漏洞為“超星學習通應用系統(tǒng)平臺存在邏輯缺陷漏洞，攻擊者可利用漏洞導致任意用戶賬戶登錄及泄露用戶信息?！?/p>

根據(jù)國家信息安全漏洞共享平臺記錄，超星學習通在漏洞公布后曾更新過補丁。

國家信息安全漏洞共享平臺顯示超星學習通曾存在信息泄露漏洞

數(shù)據(jù)泄露有內(nèi)外因，防數(shù)據(jù)“裸奔”迫在眉睫

貝殼財經(jīng)記者調(diào)查發(fā)現(xiàn)，盡管目前無法確認黑灰產(chǎn)賣家標榜的“學習通數(shù)據(jù)”是否為真，但平臺上已經(jīng)不乏可能被泄露的學生個人信息，并幾經(jīng)倒手。記者注意到，黑灰產(chǎn)平臺中，學生數(shù)據(jù)按本科生、碩士、博士、畢業(yè)生等被分類售賣。記者隨即瀏覽幾名賣家提供的樣本信息發(fā)現(xiàn)，一些甚至包括大學生的實習經(jīng)歷和中小學生的家長信息。

奇安信數(shù)據(jù)安全專家、數(shù)據(jù)安全子公司副總經(jīng)理姚磊對貝殼財經(jīng)記者表示，從過去多起數(shù)據(jù)泄露事件來看，通常造成企業(yè)數(shù)據(jù)泄露的原因既可能是外部的，也可能是內(nèi)部的，也存在二者皆有。攻擊者可能利用目標系統(tǒng)漏洞或者竊取到的特權賬戶，獲取了相應數(shù)據(jù)庫管理員的權限，從而完成拖庫行為?！按祟愂录饲耙矔r有發(fā)生，比如領英數(shù)據(jù)泄露事件被證實為黑客利用其API漏洞所致。因此，企業(yè)應當加強數(shù)據(jù)安全防護力度，避免大量使用弱口令，對于發(fā)現(xiàn)的安全隱患要及時處置。”

姚磊稱，內(nèi)部原因也要分為兩種情況：第一種有可能是運維人員的不當操作致使數(shù)據(jù)意外泄露；第二種則是有內(nèi)鬼作祟，如果其內(nèi)部權限管控缺失或者行為審計有紕漏，內(nèi)部員工（如數(shù)據(jù)庫管理員）可以利用自身系統(tǒng)權限，將數(shù)據(jù)庫中的數(shù)據(jù)批量下載下來，然后進行倒賣。從這個角度來看，企業(yè)應采用技術手段，加強自身內(nèi)部員工的權限管理和行為審計，對于某些超越權限或者高危操作應嚴格控制。

在超星學習通被曝可能存在信息泄露后，不少學生用戶在社交平臺公開發(fā)文質(zhì)疑學習通的“使用次數(shù)”存在問題。網(wǎng)友“我是誰小怪獸”稱，自己只在去圖書館需要預約時才使用學習通，卻顯示了4926次使用。網(wǎng)友“奶茶不要全糖要微糖”表示，自己的學習通使用次數(shù)有6萬次。

對此，學習通回應稱，使用量不是”使用學習通的次數(shù)”，而是用戶使用學習通時向服務器發(fā)出的頁面請求次數(shù)，類似于互聯(lián)網(wǎng)請求的pv值（pageview），學習者有幾十萬學習通使用量是正?，F(xiàn)象，而不是賬號泄露的表現(xiàn)。

邱同學告訴貝殼財經(jīng)記者，學習通的使用次數(shù)和信息泄露應該沒有必然聯(lián)系，“這次事件大概率是黑客入侵所致。”

他表示，自己參與過大量攻防演練，發(fā)現(xiàn)國內(nèi)各大高校還需要將網(wǎng)絡安全建設落到實處?！熬唧w措施的建構，行業(yè)標準的制定需要有識之士共同努力。國家的網(wǎng)絡安全建設有待各方長期共同發(fā)力，為更美好、更安全的互聯(lián)網(wǎng)而戰(zhàn)?！?/p>

奇安信集團副總裁、創(chuàng)新BG負責人孔德亮表示，近年來媒體多次曝出的信息泄露事件再次表明，很多企業(yè)機構的數(shù)據(jù)處在“裸奔”狀態(tài)，這是數(shù)據(jù)安全當前的首要問題，防“裸奔”、補短板迫在眉睫，85%以上的客戶需要從這開始。

記者聯(lián)系郵箱：luoyidan@xjbnews.com

新京報貝殼財經(jīng)記者 羅亦丹

編輯 王進雨 宋鈺婷

校對 陳荻雁