信息來源：安全內(nèi)參

近日，“學(xué)習(xí)通數(shù)據(jù)庫(kù)疑發(fā)生信息泄露”登上微博熱搜。據(jù)網(wǎng)絡(luò)安全公眾號(hào)“M78安全團(tuán)隊(duì)”6月20日發(fā)文（現(xiàn)已刪除），高校學(xué)習(xí)軟件“學(xué)習(xí)通”數(shù)據(jù)庫(kù)信息疑似大規(guī)模泄露，包含姓名、手機(jī)號(hào)、性別、學(xué)校、學(xué)號(hào)、郵箱等信息，數(shù)量疑達(dá)1億7273萬(wàn)條。

用戶發(fā)現(xiàn)上萬(wàn)使用記錄

對(duì)此，學(xué)習(xí)通方面21日發(fā)微博回應(yīng)稱，不存儲(chǔ)用戶明文密碼，理論上用戶密碼不會(huì)泄露，“公司確認(rèn)網(wǎng)上傳言密碼泄露是不實(shí)的”。學(xué)習(xí)通還稱收到用戶數(shù)據(jù)疑似泄露的消息后已連續(xù)技術(shù)排查十余小時(shí)，暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)，且公安機(jī)關(guān)已經(jīng)介入調(diào)查。

學(xué)習(xí)通對(duì)數(shù)據(jù)泄露傳聞的聲明

針對(duì)學(xué)習(xí)通的回應(yīng)，有專家對(duì)南都·隱私護(hù)衛(wèi)隊(duì)表示，只要系統(tǒng)存在漏洞，黑客就有可能模仿用戶登錄過程，不需要密碼也能竊取數(shù)據(jù)庫(kù)的信息。而且如果對(duì)數(shù)據(jù)庫(kù)加密的強(qiáng)度不夠，只要有足夠的時(shí)間和算力，也可以被解開。

文|程雨祺 龔玉文 蔣琳

學(xué)習(xí)通疑泄露1.7億用戶數(shù)據(jù)，公安已介入

公開資料顯示，“學(xué)習(xí)通”是北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司旗下的一款教育軟件，在高校中普及率非常高，功能包括線上課程打卡、考試監(jiān)考等。在蘋果應(yīng)用商店里，學(xué)習(xí)通App目前獲得了12萬(wàn)個(gè)評(píng)分，平均評(píng)分為1.4（滿分5分）。低分評(píng)價(jià)中，不少用戶表達(dá)了對(duì)隱私收集和用戶體驗(yàn)的不滿。

6月20日，“M78安全團(tuán)隊(duì)”發(fā)文稱，發(fā)現(xiàn)學(xué)習(xí)通的數(shù)據(jù)庫(kù)正在被黑客以非法渠道兜售，涵蓋姓名、手機(jī)號(hào)、學(xué)號(hào)、工號(hào)、性別、郵箱、部分用戶的密碼等，達(dá)1億7273條，首發(fā)披露學(xué)習(xí)通數(shù)據(jù)庫(kù)發(fā)生信息泄露。

M78安全團(tuán)隊(duì)撰文驗(yàn)證可查詢相關(guān)信息，目前文章已被刪除

撰文者驗(yàn)證發(fā)現(xiàn)，某知名軟件中的社工庫(kù)機(jī)器人已可查詢相關(guān)信息，查詢信息涵蓋學(xué)號(hào)、姓名、性別、學(xué)校、手機(jī)號(hào)等關(guān)鍵信息，與其本人的學(xué)習(xí)通信息一致?！耙虼藰O大概率來說，消息是準(zhǔn)確的”。

根據(jù)網(wǎng)傳截圖，南都·隱私護(hù)衛(wèi)隊(duì)進(jìn)入售賣學(xué)習(xí)通用戶數(shù)據(jù)的賣家所在平臺(tái)，賣家聲稱“幫朋友賣個(gè)數(shù)據(jù)”，含學(xué)習(xí)通里的學(xué)校/組織名、姓名、手機(jī)號(hào)、學(xué)號(hào)/工號(hào)、性別、郵箱，共1億7273萬(wàn)條，含密碼1076萬(wàn)。

21日下午，學(xué)習(xí)通在官博公開回應(yīng)稱，公司于20號(hào)晚收到“疑似學(xué)習(xí)通APP用戶數(shù)據(jù)泄露”的反饋信息，立即組織技術(shù)排查，已持續(xù)十余個(gè)小時(shí)，暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)。鑒于事情重大，公司已經(jīng)向公安機(jī)關(guān)報(bào)案，公安機(jī)關(guān)已經(jīng)介入調(diào)查。

學(xué)習(xí)通方面還強(qiáng)調(diào)，網(wǎng)上傳言密碼泄露不實(shí)。因?yàn)槠洳淮鎯?chǔ)用戶明文密碼，采取單向加密存儲(chǔ)，在這種技術(shù)手段下即使公司內(nèi)部員工（包括程序員）也無法獲得密碼明文，“理論上用戶密碼不會(huì)泄露”。

盡管學(xué)習(xí)通方面并未確認(rèn)發(fā)現(xiàn)了用戶數(shù)據(jù)泄露，截至目前，已有多位學(xué)習(xí)通用戶在網(wǎng)上曬出登錄后的學(xué)習(xí)通頁(yè)面，有的顯示使用次數(shù)高達(dá)十幾萬(wàn)次。還有網(wǎng)友稱，自己近日收到不少騷擾電話，懷疑與學(xué)習(xí)通數(shù)據(jù)泄露有關(guān)。

微博網(wǎng)友曬出騷擾電話和異常使用次數(shù)

對(duì)此，學(xué)習(xí)通方面解釋稱，學(xué)習(xí)通使用量不是“使用學(xué)習(xí)通的次數(shù)”，而是用戶使用學(xué)習(xí)通時(shí)向服務(wù)器發(fā)出的頁(yè)面請(qǐng)求次數(shù)，用戶正常學(xué)習(xí)的話每天會(huì)有幾百到上千使用量。因此，有幾十萬(wàn)使用量“是正?，F(xiàn)象，而不是賬號(hào)泄露的表現(xiàn)”。然而，有閱讀時(shí)間為0分鐘的用戶使用量也達(dá)到了上萬(wàn)條。

學(xué)習(xí)通對(duì)使用量數(shù)據(jù)的解釋

專家：不存儲(chǔ)密碼和數(shù)據(jù)泄露無必然聯(lián)系

對(duì)于學(xué)習(xí)通方面對(duì)于數(shù)據(jù)泄露事件的回應(yīng)，北京漢華飛天信安科技有限公司總經(jīng)理彭根表示，保管密碼和數(shù)據(jù)泄露之間沒有必然聯(lián)系?！爸灰到y(tǒng)存在漏洞，黑客就有可能模仿用戶登錄過程，不需要密碼也能竊取數(shù)據(jù)庫(kù)的信息?！?

至于密碼存儲(chǔ)方式，彭根認(rèn)為沒有所謂“單向加密存儲(chǔ)”這樣的說法，他猜測(cè)可能是指不可逆的方式。但他強(qiáng)調(diào)，這種方式如果密碼強(qiáng)度不夠，只要有足夠的時(shí)間和算力，也可以被解開。

南都·隱私護(hù)衛(wèi)隊(duì)從多位大學(xué)生處了解到，目前仍有許多高校仍在使用“學(xué)習(xí)通”，有的高校則向?qū)W生發(fā)了修改密碼的通知。也有不少網(wǎng)友表示，已經(jīng)注銷了學(xué)習(xí)通賬號(hào)。

長(zhǎng)安大學(xué)的一位學(xué)生對(duì)南都·隱私護(hù)衛(wèi)隊(duì)表示，她在很多平臺(tái)上都使用了同一密碼，看到新聞后“感覺很慌”。她希望“學(xué)習(xí)通”先消除公眾的疑慮，盡快回應(yīng)，告知公眾泄露到何種程度、最壞影響如何、怎樣能快速解決這個(gè)問題。

清律律師事務(wù)所首席合伙人熊定中表示，既然學(xué)習(xí)通已經(jīng)報(bào)案，首先要等待公安機(jī)關(guān)調(diào)查結(jié)果。如果確實(shí)發(fā)生了數(shù)據(jù)泄露事件，要看平臺(tái)是否存在過錯(cuò)。如果平臺(tái)已經(jīng)按持有的用戶敏感信息類型，遵循法律要求做到相應(yīng)安保級(jí)別的措施，“可能就沒有太多的責(zé)任可言，等于說他們也是受害人”。

他還提到，如果接到大量騷擾電話或收到大量非法信息，個(gè)人有權(quán)利向工信部或網(wǎng)信辦舉報(bào)?！暗矙C(jī)關(guān)對(duì)這么大規(guī)模的數(shù)據(jù)庫(kù)泄露有直接管轄權(quán)，所以對(duì)于普通用戶來說，安心等警方通報(bào)就可以了?！?

南都·隱私護(hù)衛(wèi)隊(duì)查詢國(guó)家信息安全漏洞共享平臺(tái)發(fā)現(xiàn)，2020年3月學(xué)習(xí)通App曾被發(fā)現(xiàn)存在XSS漏洞（跨站腳本攻擊，指可利用網(wǎng)站漏洞從用戶惡意盜取信息）；同年11月又被發(fā)現(xiàn)存在信息泄露漏洞，危害級(jí)別為“中”。2021年9月和11月，學(xué)習(xí)通更新了兩個(gè)補(bǔ)丁。

國(guó)家信息安全漏洞共享平臺(tái)截圖

此外，熊定中還指出，數(shù)據(jù)泄露和系統(tǒng)被攻破是兩種情況。后者意味著黑客可能大量、頻繁地調(diào)取用戶記錄，利用運(yùn)行中的App進(jìn)一步盜取用戶個(gè)人信息，“這會(huì)比僅僅是數(shù)據(jù)庫(kù)的泄露更加嚴(yán)重”。