1亿7273万条“学习通”学生数据库为何“金主”争着买
6月20日,“M78Sec安全团队”发文曝光称,高校学习软件“学习通”数据库信息疑似大规模泄露,包含姓名、手机号、性别、学校、学号、邮箱等信息,数量疑达1亿7273万条。
一石惊起千层浪。许多网安群里,各路专家与爱好者纷纷猜测真假。还有较真者亲自用社工库查询相关信息,并发现查到的信息均为属实,引发了不少人的猜测与议论,甚至有人说“可以集体诉讼了”。
事情发生之后,许多人肯定都是在等待着学习通官方的说法。看看事情到底是怎么回事?在国家层面极为重视保护个人信息安全的当口,怎会又爆发如此严重的个人信息泄露事件呢?
6月21日下午三点多,终于等来了学习通官方的通告。通告显示:“目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,我们已经向公安机关报案,公安机关已经介入调查。学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。”
对此,有网友调侃称“热搜第一了你才回复”。
6月21日,此次事件爆料人、北京某安全公司创始人邱同学接受贝壳财经记者采访时表示,他是前几日在某平台发现了学习通APP的数据正在被黑客兜售,于是进行仔细查证,经多人验证发现社工库(黑客将泄漏的用户数据集中归档的数据库)中泄露的个别信息与学习通信息高度一致。
邱同学在发现学习通数据疑似泄露后,接着从某数据库中找到了姓名、电话、学校、学号、性别等数据。他无奈表示:“其实我是一名创业的大学生,很不幸,我的数据也在泄露的范围内。”
邱同学之所以决定曝光这一事件,不仅是因为在泄露信息中发现了自己的信息,还因经比对后发现,与其本人的超星学习通信息一致。他认为“极大概率来说,消息是准确的”,而且“一些名校也没有幸免于难”。
实际上,网传早有截图显示,在6月18日或更早,就有卖家在黑灰产平台上公开宣称出售“1亿7273条学习通数据”。
在某黑灰产平台,有卖家在6月21日晚间发贴图暗示称,学习通所储存的加密数据,可以通过技术破译,所以即便密码没有泄露,也不影响黑产获取学生数据。或许这也是学习通官方声明中认为并没有明文泄露学生数据的缘故。
对于这“1亿7273条学习通数据”,引来了大量买家的关注,许多买家纷纷询问相关信息以及问价。在6月21日22点15分,卖家在黑灰产平台上表示,数据“已经出售,被金主买断”。
且不管学习通官方通告所言真假与否,先来看看学习通是家什么企业,又从事哪些业务。毕竟很多人士以及从校园毕业很多年,当年并未使用过学习通,故而不甚了解也是正常。如若了解了这些相关,或许才能够明辨事情的严重与否,以及从蛛丝马迹中寻获事情真相的可能。
据公开资料显示,“学习通”是北京世纪超星信息技术发展有限责任公司旗下的一款教育软件,主要功能包括线上课程打卡、网课在线学习、考试监考等。因此,该软件所针对的受众群体多为高校师生。
在apple应用商店中,学习通App已经获得了12万个评分,平均评分为1.4(满分5分)。在众多低分评价中,有不少用户表达了学习通APP对隐私收集和用户体验的不满。
一位刚刚大学毕业的学生称,在校期间需要使用超星学习通上课签到,看课件等,使用学习通APP为学校要求,与学分有关,所以很多学校在用,使用频率也较高。“每节课都需要”,他本人的学习通APP中的使用次数也高达3万多次。
尽管学习通方面并未确认发现了用户数据泄露,但目前已有多位学习通用户在网上晒出登录后的学习通页面,有的显示使用次数高达十几万次。还有网友称,自己近日收到不少骚扰电话,怀疑与学习通数据泄露有关。
甚至有用户反映,自己前几天就接到了境外诈骗电话,对方能报出自己的身份证号、知道自己有支付宝学生认证。
还有用户吐槽称:“我好多账号用的都是这个(学习通APP)密码”、“一会儿还要用学习通考试”。
关于微博网友晒出骚扰电话和异常使用次数,学习通方面解释称,学习通使用量不是“使用学习通的次数”,而是用户使用学习通时向服务器发出的页面请求次数,用户正常学习的话每天会有几百到上千使用量。因此,有几十万使用量“是正常现象,而不是账号泄露的表现”。
然而,令人费解的是,有阅读时间为0分钟的用户,使用量也达到了上万条。
目前,许多高校依旧在使用“学习通”,毕竟一时半刻也很难找到全面的替代品。因此有的高校则向学生发了修改密码的通知。不过,也有不少网友表示,已经注销了学习通账号。这部分人群可能已经毕业,暂时不再需要学习通来学习考试。
实际上,还有网友表示,其早在使用学习通APP之初,就曾担心过个人信息安全,但因该软件是学校推荐使用,便未作过多猜测。该网友表示:“学习通向用户索要了很多权限,不仅需要用户提供真实的姓名与身份证号,还会因各种需要强制要求用户打开麦克风、视频、定位等手机权限。”
关注此事件的媒体很多,所以他们也从不同的渠道和途径,找寻到了一些关于“学习通数据库”黑产买卖的线索。
6月21日,红星新闻记者通过多种渠道,进入到了网传疑似泄露学习通用户个人信息的在线聊天频道,发现里面有多人正在询问学习通数据如何查询。同时,也确实有用户疑似正在贩卖相关的数据信息。
在该聊天频道,一网名为“无名渗透”的用户公开留言表示,自己可以代查学习通的账号密码以及身份证号。当记者私信其表示想要代查学习通相关信息的用户时,对方则表示“学习通数据单价为10元一人,购买整个数据库需要3000元”。
此外,在该聊天频道还看到一条来源疑为“超星个人网”的学生个人信息。根据上面泄露出的姓名与手机号码,记者联系到了当事人武小姐。她向记者确认了泄露信息中内容的真实性。
“我的确在学习通上面登记过姓名、手机、QQ号等相关信息。”同时,武小姐表示,因自己的学号与“超星个人网”的工号是独一无二的,不可能在其他注册过的平台出现,因此怀疑自己被泄露在网上的信息系从“超星学习通”上流出。
6月21日中午12时许,在聊天频道里,有频道负责人发布了一条关于“超星学习通”泄露事件的说明。其中提到,泄漏内容包含手机号码、邮箱、姓名及就读信息,部分还包含年级、班级、明文密码等信息。该负责人提醒,该频道从未出售任何数据,在校学生不要试图购买或出售此数据,以防上当受骗。
而在该份说明附带的泄露学校列表里,疑似此次学习通数据库泄露涉及的学校数量众多,不仅包括全国各地的高等院校,还涉及多个幼儿园、中小学等教育机构。
对此,学习通平台客服回应称本次信息泄露事件正在核实,还没有结果。北京世纪超星信息技术发展有限责任公司一位工作人员也表示,该公司目前在调查相关情况,且已经报警处理。
另一家媒体“贝壳财经”也挖掘出了许多耐人寻味的信息,或许能从中又寻到一些不同寻常的味道。
6月21日至22日,贝壳财经记者检索黑灰产平台发现,随着学习通事件发酵,越来越多黑灰产买家和卖家参与其中,有卖家称“已购入数据,入库后免费开放查询”,有买家在花费500美元购买到学习通数据后发现被骗。对此,甚至有卖家站出来“打假”表示,“只有自己的数据才是真的。”
邱同学告诉贝壳财经记者,他之所以能在社工库搜索到自己的数据,应该是数据已被黑客卖给了社工库的维护人员。据他监测发现,学习通的数据从最初约1300美元(约8720人民币)价格,经过几轮倒卖,已经降到3000元人民币,“应该已经被转手过几次了”。
邱同学称,此事引爆舆论并不是他本意,事件发酵的速度超出自己预期,也说明大家对个人隐私泄露越来越关注。“我认为这件事情给学校和平台都敲响了警钟,核心机密数据不应储存于商业公司之手,要切实把网络安全建设落地。”
公开资料显示,“超星学习通”是基于微服务架构打造的课程学习、知识传播与管理分享平台。北京世纪超星信息技术发展有限责任公司则是一家数字图书馆解决方案提供商和数字图书资源提供商,拥有全国最大的图书数字化加工中心。
天眼查显示,北京世纪超星信息技术发展有限责任公司成立于2000年1月27日,注册资本为3000万人民币,法定代表人为付国明,经营范围包括技术开发、技术推广、技术咨询、技术服务;销售计算机、软件及辅助设备等。
其客户一栏标明,公司近年来有上百名客户,多以国内各大高等院校为主。在其招投标公告中显示,多个高校与其合作的项目为建设在线网络学习平台或网络教学一体化服务平台。
通过注册学习通用户账号发现,新用户在注册前须阅读并同意学习通的《隐私政策》和《用户协议》。其中,《隐私政策》里表示,学习通提供服务时,可能会收集、储存和使用用户的手机号码、个人姓名、登录账号(学号/工号)、位置权限、基于摄像头(相机)的附加功能、基于图片上传的附加功能、基于语音技术的附加功能、查看WLAN状态、读取SD卡、监听手机通话状态、悬浮窗权限、蓝牙权限、GET TASKS权限、设备信息、软件信息等。
值得注意的是,该《隐私政策》里表明,为保障学习通APP的稳定运行或实现相关功能,其可能会接入由第三方提供的软件开发包(SDK)实现前述目的。
然而,其接入的部分第三方SDK可能涉及收集用户信息,向用户提供服务。但其会评估该第三方手机信息的合法性、正当性、必要性,要求第三方对用户的信息采取保护措施,并且严格遵守相关法律法规与监管要求。
搜集这么多信息、索取这么多权限,是否存在违规和越权呢?实际上,学习通早就出现了类似问题,且还被国家相关平台通报过。
通过检索关键词发现,在国家信息安全漏洞共享平台上,“超星学习通”APP曾被指存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
比如,2020年3月学习通App曾被发现存在XSS漏洞(跨站脚本攻击,指可利用网站漏洞从用户恶意盗取信息);同年11月又被发现存在信息泄露漏洞,危害级别为“中”。2021年9月和11月,学习通更新了两个补丁。
此次“1亿7273条学习通数据”泄露事件,也引发了大量网友的议论。其中有些网友可能是网络安全业内相关人士,给出了一些比较专业和深度的看法,我们择取一部分,以供诸君参考与思考。
一位百度网友称:“学习通避重就轻说密码没有泄漏,在这里给大家科普一下,没有任何一个软件会把密码明文存在数据,数据库的密码是经过加密后的。所以在座的各位密码肯定没有泄漏,即使泄漏了也没用,但是身份信息、手机号等敏感信息是泄漏的。”
另一网友表示:“不填写个人信息,这本身就是一个矛盾,无法两全,如果不实名认证,是不是我可以注册很多微博账号,各种喷,随便喷也没有人知道我是谁,完全的黑户。如果实名认证,个人信息的确是存在泄露的风险,无法避免,国外再牛逼的科技公司,用户信息照样丢失。有没有一种可能,国家建设一款基础平台,保管用户基础信息(手机号,性别、身份证、住址),这些信息对外只提供一串类似身份证的编码,用户可以通过该编码进行各个平台进行注册,就算平台信息泄露也无法危机用户个人信息,具体平台需要用户什么信息那就必须和国家申请,这样会不是解决问题。”
还有一位网友称:“密码没泄露,但用户个人敏感信息没脱敏。以前我们做某些金融类App数据库敏感数据都脱敏,列表不展示用户太多信息。手机号都打星,这样即使业务员也没办法截图复制等方式快速把数据泄露,只能一个个点开才有部分敏感数据,电话还是打星,只能用电脑端唤起的座机电话打且没显示。安全性虽然算不上特别高,但相比很多公司来说已经算很高了,毕竟密码不可逆,隐私信息业务员没办法拉取。黑客或者非这模块的程序员拖库也拿不到敏感数据。不过敏感数据检索就比较坑了。”
清律律师事务所首席合伙人熊定中表示,既然学习通已经报案,首先要等待公安机关调查结果。如果确实发生了数据泄露事件,要看平台是否存在过错。如果平台已经按持有的用户敏感信息类型,遵循法律要求做到相应安保级别的措施,“可能就没有太多的责任可言,等于说他们也是受害人”。
熊定中还表示,如果接到大量骚扰电话或收到大量非法信息,个人有权利向工信部或网信办举报。“但公安机关对这么大规模的数据库泄露有直接管辖权,所以对于普通用户来说,安心等警方通报就可以了。”
一名从事软件开发的程序员称,就目前的信息来看,学习通用户被泄露的信息多是姓名、电话、身份证号等内容。因网贷公司、房产公司等想要获得广泛的客户资源,具有精准性的“人名+电话号码”的个人信息是他们最需要的资源,所以目前互联网市场上被贩卖最多的个人信息就是电话号码。
一位资深安全人士表示,保管密码和数据泄露之间没有必然联系。“只要系统存在漏洞,黑客就有可能模仿用户登录过程,不需要密码也能窃取数据库的信息。”至于密码存储方式,则没有所谓“单向加密存储”这样的说法,可能是指不可逆的方式。但这种方式如果密码强度不够,只要有足够的时间和算力,也可以被解开。
一位从事密码工作相关的专业人士表示,只要拥有足够的时间和算力,用户密码可以被暴力解开。例如主流的“彩虹表”密码破译技术,可以把所有可能的密码计算出哈希(哈希值是将任意长度的输入字符串转换为密码并进行固定输出的过程),并保存在索引文件中,在需要破解时,只需根据哈希对索引文件进行查询,即可很快获得明文密码。
另有网络安全专家表示,因互联网技术的不断发展,想要获取一个人在网上的个人信息有多种途径,除开软件运营商违规操作外,还有可能是不法分子通过网络技术入侵数据库,或用户自己不小心浏览了来历不明的链接,因链接上的木马病毒导致信息泄露。因此,用户在日常上网时一定要谨慎小心,仔细甄别各类网络链接,来路不明的链接不要点击,没有安全认证的网站也不要浏览。
2018年 3 月曝光的Facebook数据泄露事件中,有5000 万用户的个人资料,被用来作为向其精准投放政治广告的重要参考,而这些人占据着美国选民人数的四分之一。同年,万豪发布公告称旗下酒店喜达屋5亿房客信息被泄露.
此外,社交平台陌陌的3000 万用户数据在暗网被销售;问答网站鼻祖Quora的1 亿用户数据被窃等等。
诸如此类的数据隐私泄露事件一直在持续上演。因为各大营销推广公司,急需大量潜在用户的个人信息,甚至不惜采取购买非法数据库的方式来获取。
正所谓,没有买卖没有伤害。正因为“金主”买方需求甚广,各类黑产黑客才对窃取各种数据库孜孜不倦。“金主”们争相购买大学生个人信息数据库,乃是因为大学生以及刚毕业的大学生都是社会人群中的优质群体,社会经验单纯,年轻而富有活力,且拥有相当巨大的未来购买力,绝对是各大平台的潜在优质客户。
目前,数据隐私问题的不断爆发,到底有何解决办法呢?实际上,目前数据的规范化流通逐渐进入正轨,国家也加大力度对数据的获取和利用的乱象进行整治,所以,合法合规获取数据将成为行业大势。
或许在不远的将来,企业对于用户数据的利用与存储问题,会在各方面的共同努力下,得到彻底解决。我们拭目以待,翘首以盼。谁也不想自己的个人信息成为黑产与不法商家砧板上的鱼肉。
红星新闻:《大学生学习软件“超星学习通”被曝用户数据被公开售卖,当事方回应:已报警》
新京报贝壳财经记者 罗亦丹:《学习通学生信息泄露事件追踪:有卖家连夜出售,宣称被金主买断》
程雨祺 龚玉文 隐私护卫队:《学习通回应1.7亿数据疑泄露,专家:密码加密仍有安全风险》
快科技:《贩卖者称3000可买学习通整个数据库:被曝泄露1.7亿条信息!》
齐心抗疫 与你同在
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩