网盾科技IT教育,只培训技术精英
全国免费咨询电话: 15827351614
学习通遭攻击泄露信息1亿7273万条

今天,又一个APP被爆出信息泄漏。

安全行业业界内消息,大学生学习软件超星学习通的数据库信息被公开售卖。

其中泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条!

然后,它上了微博热搜。第二名唐山民警发来贺电。感谢学习通的安全技术人员。

超星学习通是一款在大学中普及率非常高的App,学生就连网络课打卡、考试监考都用它。

iOS版本的学习通目前共获得了12万个评分,在满分5分的情况下,评分仅为1.4。有多位给出一星评价的用户提到,超星学习通涉嫌过度收集隐私信息,为实现考试监考功能,用户“必须开麦克风、必须开摄像头、必须实名制”。

天眼查显示,超星学习通是北京世纪超星信息技术发展有限责任公司旗下的项目。App下载页面显示,超星学习通App的开发者为北京超星数图信息技术有限公司。

这俩违规使用和搜集信息,已经被曝光过的就有两次了。

近期,有大量超星学习通用户在网上提到,近日总接到外地的手机号给自己发信息、打电话,甚至有用户反映自己还接到了境外诈骗电话,而且对方能准确的报出自己的身份证号、知道自己有支付宝学生认证,还有的考试考到一半就显示在另一个地方登录,然后被强制下线。

有的网友还表示,账号异常登陆几十万次。

某安全团队公众号发文称,超星学习通的数据库信息正在被黑客在非法渠道售卖。

看看最后一句话,“行业标准的制定有待努力”。综合来看,这个软件显然是不打算按照信息采集标准来行事啊。

然后学习通今天下午看事态严重,才发了一条声明。

这么大量的用户数据泄露,黑客主要会怎么操作呢?

他们可以直接通过电话对你进行进准的实施转账汇款的诈骗。

他们还会使用撞库攻击。

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址。

整个实现流程来说,他们知道了你的邮箱账号,QQ号码,然后根据你的QQ号或者邮箱账号去互联网去查询,你注册过哪些平台,再去这些平台继续收集到你更多的个人信息,比如一些英文名,从社会工程学的角度,可以根据这些信息,组合生成一个密码字典。

生日加你名字或加一些英文名等等的去随机组合组成一个超大的密码字典库,然后对你账号注册的平台去执行暴力破解,一日进入了一个平台,一方面继续信息搜集,另一方面会拿这个密码去尝试,QQ微信等等黑客想要的平台,因为绝大多数人是不会把自己的互联网资产设多个密码。

保护网络安全,刻不容缓。

培养网络安全人才,任重道远......