超1.7亿条用户数据疑遭泄露 意外还是“惯犯”？ 5亿用户信息泄露

近日，一款名为“超星学习通”的软件进入公众视线。有消息称，该软件的数据库信息被公开售卖，超1.7亿条用户数据疑遭泄露。

一边收集用户信息，一边又无力保护，“学习通”是否被黑客攻击？信息安全如何保障？

信息疑遭泄露

6月21日，有消息称学生学习软件“超星学习通”的数据库信息被公开售卖，其中泄露的数据包含学校/组织名、姓名、手机号、学号/工号、性别、邮箱等信息达1亿7273万条。

消息一经曝出便引发大量关注，“学习通”话题一度冲上热搜榜！

不少大学生反映自己的“超星学习通”学习账号疑似被别人使用，账户查看次数大幅增加，甚至有人的使用次数超过15万次。此外，还有不少学生反映，近期接到的诈骗电话可以准确地报出自己的姓名，身份证号以及支付宝的相关信息。

学习通是一款什么样的软件？一旦信息泄露，有多少用户面临风险？

公开资料显示，“学习通”系北京世纪超星信息技术发展有限责任公司开发运营，是该公司旗下的一款教育软件，在高校中普及率非常高，功能包括线上课程打卡、考试监考等。

另据天眼查招标信息显示，该公司有7519条招投标信息，其中的6031条中标信息，是为河南、山东、四川、重庆、安徽、江西等数十个省份或地区的大学、图书馆、政府机构等提供信息服务项目。

据学习通2021年4月发布的超星集团宣传片提到，超星集团成立于1993年，旗下包括数字图书馆、学术检索网站、阅读器、学习通APP、智慧教室等产品，其中超星学习通注册师生超过6400万。

专家质疑

如此庞大的用户群体数据信息遭泄露，是真是假?

6月21日下午，“学习通”官微发布声明称，其不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，“公司确认网上传言密码泄露是不实的。”此外还表示，收到用户数据疑似泄露的消息后，公司已连续技术排查十余小时，暂未发现明确的用户信息泄露证据，公安机关已介入调查。

对此，浙江理工大学法政学院特聘副教授、网络法研究所执行所长郭兵分析，“学习通”官方回应内容并非针对“疑似用户数据泄露”，密码信息只是用户信息的其中一种，回复实质是答非所问。

声明中提到“暂未发现明确的用户信息泄露证据”，郭兵认为，因为员工是做外部因素排查未发现问题，不排除内部问题导致用户个人信息遭泄露。如果事实如报料人所说，目前已经泄露了用户姓名、学校、手机号等能对用户形成完整画像的全方位个人信息，加之这类信息不像密码那样可修改，“其所涉及风险会非常大。”

对于学习通方面对于数据泄露事件的回应，北京汉华飞天信安科技有限公司总经理彭根表示，保管密码和数据泄露之间没有必然联系。“只要系统存在漏洞，黑客就有可能模仿用户登录过程，不需要密码也能窃取数据库的信息。”

至于密码存储方式，彭根认为没有所谓“单向加密存储”这样的说法，他猜测可能是指不可逆的方式。但他强调，这种方式如果密码强度不够，只要有足够的时间和算力，也可以被解开。

尽管学习通方面并未确认发现了用户数据泄露，但截至目前，已有多位学习通用户在网上晒出登录后的学习通页面，有的显示使用次数高达十几万次。对此，学习通方面解释称，学习通使用量不是“使用学习通的次数”，而是用户使用学习通时向服务器发出的页面请求次数，用户正常学习的话每天会有几百到上千使用量。因此，有几十万使用量“是正常现象，而不是账号泄露的表现”。然而，有阅读时间为0分钟的用户使用量也达到了上万条。

数据或已被多次倒卖

披露“学习通”数据泄露事件的M78安全团队公众号目前已将相关文章删除，且发布了一条消息称：关于某星学习通数据库疑发生信息泄露相关信息由我司相关安全研究员披露，介于事件正在调查过程中，为避免引发舆论过度关注，文章在昨天下午已删除。相关问题暂时不予回复，相关部门已介入调查。

《科创板日报》近日采访了该事件披露者——北京某网络安全公司创始人邱同学。他向记者表示，因为长期对灰黑产关键词进行监控，在一次日常监控中，他发现境外某黑产频道正在对相关数据库进行兜售，由于泄露的数据中包括了学习通所使用的特定通信地址，因而判断泄露自学习通的概率非常大。

邱同学向《科创板日报》记者表示，不明身份的人员6月18日在境外黑产频道发布了兜售信息，但是泄露时间应远在此之前。

版权声明

本站部分资源来自网友上传，并不代表本站立场。

如果无意之中侵犯了您的版权，请联系本站，本站将在3个工作日内删除。