信息來源：安全內(nèi)參

近日，“學習通數(shù)據(jù)庫疑發(fā)生信息泄露”登上微博熱搜。據(jù)網(wǎng)絡安全公眾號“M78安全團隊”6月20日發(fā)文（現(xiàn)已刪除），高校學習軟件“學習通”數(shù)據(jù)庫信息疑似大規(guī)模泄露，包含姓名、手機號、性別、學校、學號、郵箱等信息，數(shù)量疑達1億7273萬條。

用戶發(fā)現(xiàn)上萬使用記錄

對此，學習通方面21日發(fā)微博回應稱，不存儲用戶明文密碼，理論上用戶密碼不會泄露，“公司確認網(wǎng)上傳言密碼泄露是不實的”。學習通還稱收到用戶數(shù)據(jù)疑似泄露的消息后已連續(xù)技術(shù)排查十余小時，暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)，且公安機關已經(jīng)介入調(diào)查。

學習通對數(shù)據(jù)泄露傳聞的聲明

針對學習通的回應，有專家對南都·隱私護衛(wèi)隊表示，只要系統(tǒng)存在漏洞，黑客就有可能模仿用戶登錄過程，不需要密碼也能竊取數(shù)據(jù)庫的信息。而且如果對數(shù)據(jù)庫加密的強度不夠，只要有足夠的時間和算力，也可以被解開。

文|程雨祺 龔玉文 蔣琳

學習通疑泄露1.7億用戶數(shù)據(jù)，公安已介入

公開資料顯示，“學習通”是北京世紀超星信息技術(shù)發(fā)展有限責任公司旗下的一款教育軟件，在高校中普及率非常高，功能包括線上課程打卡、考試監(jiān)考等。在蘋果應用商店里，學習通App目前獲得了12萬個評分，平均評分為1.4（滿分5分）。低分評價中，不少用戶表達了對隱私收集和用戶體驗的不滿。

6月20日，“M78安全團隊”發(fā)文稱，發(fā)現(xiàn)學習通的數(shù)據(jù)庫正在被黑客以非法渠道兜售，涵蓋姓名、手機號、學號、工號、性別、郵箱、部分用戶的密碼等，達1億7273條，首發(fā)披露學習通數(shù)據(jù)庫發(fā)生信息泄露。

M78安全團隊撰文驗證可查詢相關信息，目前文章已被刪除

撰文者驗證發(fā)現(xiàn)，某知名軟件中的社工庫機器人已可查詢相關信息，查詢信息涵蓋學號、姓名、性別、學校、手機號等關鍵信息，與其本人的學習通信息一致?！耙虼藰O大概率來說，消息是準確的”。

根據(jù)網(wǎng)傳截圖，南都·隱私護衛(wèi)隊進入售賣學習通用戶數(shù)據(jù)的賣家所在平臺，賣家聲稱“幫朋友賣個數(shù)據(jù)”，含學習通里的學校/組織名、姓名、手機號、學號/工號、性別、郵箱，共1億7273萬條，含密碼1076萬。

21日下午，學習通在官博公開回應稱，公司于20號晚收到“疑似學習通APP用戶數(shù)據(jù)泄露”的反饋信息，立即組織技術(shù)排查，已持續(xù)十余個小時，暫未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)。鑒于事情重大，公司已經(jīng)向公安機關報案，公安機關已經(jīng)介入調(diào)查。

學習通方面還強調(diào)，網(wǎng)上傳言密碼泄露不實。因為其不存儲用戶明文密碼，采取單向加密存儲，在這種技術(shù)手段下即使公司內(nèi)部員工（包括程序員）也無法獲得密碼明文，“理論上用戶密碼不會泄露”。

盡管學習通方面并未確認發(fā)現(xiàn)了用戶數(shù)據(jù)泄露，截至目前，已有多位學習通用戶在網(wǎng)上曬出登錄后的學習通頁面，有的顯示使用次數(shù)高達十幾萬次。還有網(wǎng)友稱，自己近日收到不少騷擾電話，懷疑與學習通數(shù)據(jù)泄露有關。

微博網(wǎng)友曬出騷擾電話和異常使用次數(shù)

對此，學習通方面解釋稱，學習通使用量不是“使用學習通的次數(shù)”，而是用戶使用學習通時向服務器發(fā)出的頁面請求次數(shù)，用戶正常學習的話每天會有幾百到上千使用量。因此，有幾十萬使用量“是正?，F(xiàn)象，而不是賬號泄露的表現(xiàn)”。然而，有閱讀時間為0分鐘的用戶使用量也達到了上萬條。

學習通對使用量數(shù)據(jù)的解釋

專家：不存儲密碼和數(shù)據(jù)泄露無必然聯(lián)系

對于學習通方面對于數(shù)據(jù)泄露事件的回應，北京漢華飛天信安科技有限公司總經(jīng)理彭根表示，保管密碼和數(shù)據(jù)泄露之間沒有必然聯(lián)系?！爸灰到y(tǒng)存在漏洞，黑客就有可能模仿用戶登錄過程，不需要密碼也能竊取數(shù)據(jù)庫的信息?！?

至于密碼存儲方式，彭根認為沒有所謂“單向加密存儲”這樣的說法，他猜測可能是指不可逆的方式。但他強調(diào)，這種方式如果密碼強度不夠，只要有足夠的時間和算力，也可以被解開。

南都·隱私護衛(wèi)隊從多位大學生處了解到，目前仍有許多高校仍在使用“學習通”，有的高校則向?qū)W生發(fā)了修改密碼的通知。也有不少網(wǎng)友表示，已經(jīng)注銷了學習通賬號。

長安大學的一位學生對南都·隱私護衛(wèi)隊表示，她在很多平臺上都使用了同一密碼，看到新聞后“感覺很慌”。她希望“學習通”先消除公眾的疑慮，盡快回應，告知公眾泄露到何種程度、最壞影響如何、怎樣能快速解決這個問題。

清律律師事務所首席合伙人熊定中表示，既然學習通已經(jīng)報案，首先要等待公安機關調(diào)查結(jié)果。如果確實發(fā)生了數(shù)據(jù)泄露事件，要看平臺是否存在過錯。如果平臺已經(jīng)按持有的用戶敏感信息類型，遵循法律要求做到相應安保級別的措施，“可能就沒有太多的責任可言，等于說他們也是受害人”。

他還提到，如果接到大量騷擾電話或收到大量非法信息，個人有權(quán)利向工信部或網(wǎng)信辦舉報?！暗矙C關對這么大規(guī)模的數(shù)據(jù)庫泄露有直接管轄權(quán)，所以對于普通用戶來說，安心等警方通報就可以了?！?

南都·隱私護衛(wèi)隊查詢國家信息安全漏洞共享平臺發(fā)現(xiàn)，2020年3月學習通App曾被發(fā)現(xiàn)存在XSS漏洞（跨站腳本攻擊，指可利用網(wǎng)站漏洞從用戶惡意盜取信息）；同年11月又被發(fā)現(xiàn)存在信息泄露漏洞，危害級別為“中”。2021年9月和11月，學習通更新了兩個補丁。

國家信息安全漏洞共享平臺截圖

此外，熊定中還指出，數(shù)據(jù)泄露和系統(tǒng)被攻破是兩種情況。后者意味著黑客可能大量、頻繁地調(diào)取用戶記錄，利用運行中的App進一步盜取用戶個人信息，“這會比僅僅是數(shù)據(jù)庫的泄露更加嚴重”。