对于学习通回应称“确认密码没有泄露”,贝壳财经记者登录黑灰产平台发现,有卖家在6月21日晚间发贴图暗示称,学习通所储存的加密数据可以通过技术破译,所以即便密码没有泄露也不影响黑产获取学生数据。
全文字,阅读约需6分钟
新京报贝壳财经记者罗亦丹编辑王进雨宋钰婷校对陈荻雁
“消息多到爆炸,有什么事情直接说”“数据库不用问了,已经有人决定买断”……
6月21日晚,个别倒卖学习通数据的黑灰产仍不断释放最新消息。伴随1亿万条学生信息被曝泄露的消息热度蹿升,买家和卖家同样开始迅速活跃。
当晚22时15分,有买家在黑灰产平台上表示,数据“已经出售,被金主买断”。
新京报贝壳财经记者发现,M78Sec安全团队率先披露出超星学习通信息泄露。6月21日,此次事件爆料人、北京某安全公司创始人邱同学接受贝壳财经记者采访表示,自己前几日在某平台发现了学习通APP的数据正在被黑客兜售,于是进行仔细查证,经多人验证发现社工库(黑客将泄漏的用户数据集中归档的数据库)中泄露的个别信息与学习通信息高度一致,“其实我是一名创业的大学生,很不幸,我的数据也在泄露的范围内。”
针对此事,学习通当天回应称,其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,“公司确认网上传言密码泄露是不实的”。学习通表示,收到用户数据疑似泄露的消息后已连续技术排查十余小时,暂未发现明确的用户信息泄露证据,公安机关已经介入调查。
▲学习通官方微博截图
━━━━━
黑灰产倒卖热:
有卖家宣称手握学生信息,有卖家打假
超星学习通是不少在校大学生的常用学习软件。此次被曝数据库信息遭公开售卖,包含姓名、手机号、性别、学校、学号、邮箱等信息1亿万条。
刚刚大学毕业的凯一告诉贝壳财经记者,在校期间需要使用超星学习通上课签到,看课件等,使用学习通APP为学校要求,与学分有关,所以很多学校在用,使用频率也较高。“每节课都需要”,根据凯一向记者展示的学习通APP截图,她的使用次数为3万次。
对于学习通数据疑似泄露,不少大学生用户表示担忧,“从昨天开始一直有骚扰电话”“最近天天有骚扰电话和短信不会因为这个吧?”
邱同学对贝壳财经记者表示,他在发现学习通数据疑似泄露后,从某数据库中找到了姓名、电话、学校、学号、性别等数据。之所以爆出这一事件,是因为不仅在泄露信息中发现了自己的基本信息,而且经比对后与其本人的超星学习通信息一致。他认为“极大概率来说,消息是准确的”,而且“一些名校也没有幸免于难”。
▲黑灰产售卖信息
贝壳财经记者发现,有截图显示在6月18日或更早,就有卖家在黑灰产平台上公开宣称出售“1亿条学习通数据”。
对于学习通回应称“确认密码没有泄露”,贝壳财经记者登录黑灰产平台发现,有卖家在6月21日晚间发贴图暗示称,学习通所储存的加密数据可以通过技术破译,所以即便密码没有泄露也不影响黑产获取学生数据。
贝壳财经记者注意到,由于这一卖家率先抛出售卖学习通信息,引来不少买家询问。22:15分,其在黑灰产平台上表示,数据“已经出售,被金主买断”。
贝壳财经记者了解到,只要拥有足够的时间和算力,用户密码可以被解开。例如主流的“彩虹表”密码破译技术,可以把所有可能的密码计算出哈希(哈希值是将任意长度的输入字符串转换为密码并进行固定输出的过程。)并保存在索引文件中,在需要破解时只需根据哈希对索引文件进行查询即可很快获得明文密码。
6月21日至22日,贝壳财经记者检索黑灰产平台发现,随着学习通事件发酵,越来越多黑灰产买家和卖家参与其中,有卖家称“已购入数据,入库后免费开放查询”,有买家在花费美元购买到学习通数据后发现被骗。对此,甚至有卖家站出来“打假”表示,“只有自己的数据才是真的。”
邱同学告诉贝壳财经记者,他之所以能在社工库搜索到自己的数据,应该是数据已经被黑客卖给了社工库的维护人员。据他监测,学习通的数据从最开始的约美元价格经过几轮倒卖,已经降价到元人民币,“应该已经被转手过几次了”。
邱同学称,此事引爆舆论并不是他本意,事件发酵的速度超出自己预期,也说明大家对个人隐私泄露越来越