0
6月21日消息,近日网络上突然流出一张截图,并在各大平台被迅速大范围传播,截图显示:“卖学习通数据”,“共 1 亿 7273 万条”,“含密码 1076 万”,“1.2 万人民币”。
据 M78 安全团队公众号昨日发文称,大学生学习软件超星学习通的数据库信息正在被黑客在非法渠道公开售卖,具体情况暂时不详。其中被兜售的数据包含姓名、手机号、性别、学校、学号、邮箱等信息 1 亿 7273 万条。随后,#学习通数据库疑发生信息泄露#冲上微博热搜。
目前该公众号已经将该文章删除,并且发布了一条消息称,关于某星学习通数据库疑发生信息泄露相关信息由我司相关安全研究员首发披露,介于事件正在调查过程中,为避免引发舆论过度关注,文章在昨天下午已删除。相关问题暂时不予回复,相关部门已介入调查。
据了解,微博上有大量超星学习通用户称,近日有外地的手机号给自己发信息、打电话,甚至有用户反映,自己前几天就接到了境外诈骗电话,对方能报出自己的身份证号、知道自己有支付宝学生认证。
有网友在社交媒体表示:要命!这是大学校园非常普及的APP!可上课可考试,学生不但要开麦开视频,还要录屏录声音,考试还要出示身份证…然后你嘎嘣一下近两亿条信息泄露了?
随后,更是有不少网友纷纷晒出疑似各大高校发布关于学习通数据库泄露的相关通知。通知显示:
接教育网重要通知,超星学习通已确认被拖库,确认泄露的数据包含机构名、学校、学号、手机号、性别、密码、邮箱等信息177273万条。涉及全国大量高校,应急安全响应为A级。如果您其他系统密码与超星学习通密码一致,请尽快修改为新密码,严防撞库对自己产生更大危害,谨防诈骗。
有媒体报道,疑似此次学习通数据库泄露涉及的学校数量众多,不仅包括全国各地的高等院校,还涉及多个幼儿园、中小学等教育机构。据悉,拖库也被认为是该软件内部服务器上保存的用户信息被人打包下载,然后去与用户其他系统的账号“撞库”,即一个一个尝试姓名密码组合,直到破解对方其他账号的密码。
21日下午,学习通官方账号发布《关于“疑似学习通用户数据泄露”传闻的声明》,声明称:我公司昨晚收到“疑似学习通APP用户数据泄露”的反馈信息,立即组织技术排查,目前排查工作已经进行了十余个小时,到目前为止还未发现明确的用户信息泄露证据。鉴于事情重大,我们已经向公安机关报案,公安机关已经介入调查。
学习通不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,在这种技术手段下即使公司内部员工(包括程序员)也无法获得密码明文。公司确认网上传言密码泄露是不实的。用户信息安全是重大问题,我公司高度重视,将协助公安机关继续深入调查,全力保障用户信息和数据安全。
值得一提的是,在2020年就有用户投诉学习通要求开启各种权限,甚至私自截取用户屏幕,质疑其严重侵犯个人隐私,并担忧在是否是大量窃取用户信息。
企查查APP显示,超星学习通关联公司北京世纪超星信息技术发展有限责任公司成立于2000年1月,注册资本3000万,法定代表人付国明。经营风险信息显示,该公司曾多次因违规收集、使用个人信息被信息通信管理局督促整改。
招投标信息显示,该公司曾中标2000多家大学、图书馆、政府机构等项目。其中今年以来该公司已有300条中标信息,服务对象包括河南科技学院、云南中医药大学、浙江金融职业学院、上海财经大学浙江学院、山东旅游职业学院等。
什么是拖库?
据了解,拖库本来是数据库领域的术语,指从数据库中导出数据。
原本这么单纯的事,在不法黑客多次攻击事件之后,被用来指不法黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。
而拖库的步骤通常为:
一,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。
二,通过该漏洞在网站服务器上建立“后门(webshell)”,通过该后门获取服务器操作系统的权限。
三,利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。
除了拖库外,还有撞库、洗库、社工库等名词。
其中,撞库指使用大量的一个网站的账号密码,去另一个网站尝试登陆。洗库是,黑客入侵网站在取得大量的用户数据之后,通过一系列的技术手段和黑色产业链将有价值的用户数据变现。而社工库则是黑客将获取的各种数据库关联起来,对用户进行全方位画像。
值得注意的是,这些“库”还可以形成一个黑色产业链:
黑客入侵A网站后对网站拖库,拿到的数据可以存到自己的社工库里,也可以直接洗库变现。拿到的这部分数据再去B网站尝试登陆,而这就可以称之为是撞库。撞库后的数据可以继续存入社工库,或是洗库变现,以此循环...
据雷峰网(公众号:雷峰网)了解,拖库的危害通常超乎我们的想象。
根据资料显示,部分网民习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码,一旦数据库被泄漏,所有的用户资料被公布于众,任何人都可以拿着密码去各个网站去尝试登录,对一些敏感的金融行业是致命的危害,对普通用户可能造成财产,个人隐私的损失或泄漏。
早在2011年,就有多家互联网站被黑客公开用户数据库,超过5000万个用户帐号和密码在网上流传。
2011年12月21日,某专业网站数据库开始在网上被疯狂转发,包括600余万个明文的注册邮箱和密码泄露,大批受影响用户为此连夜修改密码。此后,178游戏网等5家网站用户数据库又相继公开,更有媒体曝光金山毒霸等数十家大型网站已遭黑客“拖库”,从而将2011年末的密码危机推向高峰。
2015年10月17日,有微博用户发文称,网易邮箱被暴力破解,网易随后在官方微博上做出回应,称此系“撞库”所致,即黑客通过收集互联网中已泄露的用户和密码信息,尝试批量登录其他网站。19日下午,网站安全漏洞发现者乌云平台用户“路人甲”发布了《网易163/126邮箱过亿数据泄密》,报告称,泄露信息包括用户名、密码、密码保护信息、登录IP以及用户生日等多个原始信息,影响数量总共近5亿条。网易免费邮箱官方微博于19日发出再次回应,称网易邮箱不存在自身数据泄露问题。
但随后,国家互联网应急中心通报证实,确有网易邮箱数据遭泄露,泄露的数据中包括一个邮箱账号、邮箱密码的MD5、密保问题以及密保答案的MD5。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。