2022 年 6 月 20 日,超星学习通 1.7 亿隐私数据被公开售卖,包括姓名、电话、学号、学籍和密码(部分明文)等,涉及 14 万余学校及组织。
泄漏已经是事实了,亡羊补牢未为晚也。我从某一渠道获取了本次泄漏的组织名录,顺手做了个数据泄漏检测工具(不含其他任何敏感信息),欢迎使用:超星学习通隐私数据泄漏检测工具
若你检索到你的学校,并且你曾使用过学习通,那么你的信息 100% 已被泄露;若你不曾使用过,则无须担心密码泄露,但你的学校若将学籍等信息提前导入,那么部分隐私信息已被泄露。
数据的真实性请自行判断,抛砖引玉:在组织中模糊检索"测试"、"产品"、"演示",可以发现一些组织例如 2018泛雅测试平台、2019测试小组、2020年12月26日开通测试3、LSP微服务3.0对接测试、万能表单与智慧门户测试单位、上海超星产品项目研发、超星集团-中职产品部 等;以及在名录获取的同一渠道中,一些可被查询的个人隐私数据已被证实。
可以肯定的是,在泄漏发生之前注册过学习通的用户,信息皆已泄漏。披露的组织列表中包含了不少未审核及测试数据,这是整个数据库都被黑了。如果检索到你曾经的组织或学校,请首先回忆你在其他应用中是否有使用与学习通相同或高度相似的密码,如有请立即修改,否则很快就会被撞库破解。
这一次的信息泄漏是相较严峻的,人群精准定位(在校学生),同时免去了隐私信息的二次聚合,甚至可以通过一些手段使其完整到能够进行账号资料申诉的地步。超星薄弱的安全防范意识可能只是国内机关单位通病的映射,有不少机关单位的信息接口都存在被恶意利用的机会。
在资本运作和形式主义的面前,他们只关心车子能不能跑,至于跑多远和零件是否完好,在这辆车外观完好的情况下,他们是不会在意的。资本家们将自身的利益和短期的收益放在人民的利益面前,这些人已经忘了他们与社会签订的经济契约。
不过好在中国暴力犯罪率是极低的,所谓隐私数据的泄漏在某一程度上来说,其实并不会对个人造成实际意义上的影响。毕竟相比于社会完整的阴暗面,这仅仅是冰山一角。
QQ 信封号
本节内容更新于同年 6 月 27 日。在这件事情发生一周过后,兴许是它造成的连锁反应发生了:QQ 账号在凌晨被大规模盗号并发送灰黑产业广告。虽然这是目前首例公开的大规模事件,但对于 QQ 信封号这个古老且一直存在的互联网黑色产业链,发生到这一步往往意味着账号信息的其余利用价值已被榨干。
不过,QQ 官方在 27 日中午 11:42 发文称:本次事件主要原因系用户扫描过不法分子伪造的游戏登陆二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良广告。这个确实有可能是通过 XSS 攻击造成的,但其具体情况到底是因为什么,也只有腾讯自己知道了。
先解释一下信封号何其背后的产业具体是什么,以下内容引用 TOMsInsight 于 2014-06-20 提出的分析报告:
信封号,就是被盗的 QQ 号。信封号产业链,就是 QQ 号盗取、销赃、并利用获利的产业链。被盗的 QQ 在黑市上称之为“信封号”。在中国,QQ 作为人人必备的 IM 软件,有 8 亿以上的用户数,最大 2 亿以上的同时在线量,对周边生态环境有着不可估量的价值。
信封号的黑市术语和销赃过程
一组 QQ 用户名和密码称为一个“信”,一个信封就是一万个(或者一千个)被盗的 QQ 号和密码。通过各种手段盗取 QQ 号码和密码,以万为单位保存成信息文本。拿到这些信息被称为:“取信”。
而后通过一些工具,将信里面有价值的信息(QQ 币、有价值的游戏虚拟装备、QQ 靓号等)筛选出来的过程称为“洗信”。有专门的“洗信人”或者是“洗信工作室”来完成。
盗取后就没有经过任何清洗的信被称为一手信,一手信的洗信主要就是三步:第一步洗Q币,把信封里面Q币都转移出去,然后在黑市上出售;第二部是游戏虚拟装备,腾讯公司的主要收入就是来自游戏,而被盗取的 QQ 号中蕴藏的游戏虚拟财富必定不菲,所以洗信人接下来会把游戏装备、游戏积分、游戏账号以及游戏币等凡是能兑换成钱的游戏财物转走,存入固定账号。第三步就是 QQ 账号,挑 QQ 靓号(五位数、六位数、或七位数的短号,或者一些含有吉祥数字的号码)来观察是不是有密码保护或者死保(申请了密码保护资料,但是原主人忘记或者丢失了密码保护资料)。
二手信
一手信经过洗信后,称为二手信。二手信一般以更小的单位出售,在二手信的黑市上,一个信封一般只是一千个号。二手信经过洗信人的封装,分成不同的种类,不同的种类有不同的用处,下面是几种比较常见的二手信。
群发信:用来给被盗号的每一个好友和群聊发消息,一般发的消息都是特定的广告,例如各种网页游戏,特定的论坛等等,而现在很多APP的广告也开始使用群发信。
广告信:在 QQ 空间内植入广告,由于大多数人都开通了 QQ 空间,而一个人的 QQ 空间又会影响被转载到多人,所以效果明显,而且成本低廉,深受一些网络推广者喜爱。在 QQ 空间植入广告的信封由于腾讯安全策略,必须是能提取 cookies 的信封,就是无需验证码直接登录的信封,所以在黑市上也叫 cookies 信。
忽悠信:黑市上的买家登陆被盗的 QQ 号给好友发一些诈骗消息,一般都是急需钱或者出事了之类的骗术。在忽悠信中还有特定的分类: 海外留学忽悠信、女生忽悠信、18-23 岁忽悠信,微信忽悠信等。可以类推这些可耻的骗子的手段。
老信:最后被榨净的 QQ 号还会卖给黑客用来编写密码词典,或者邮件群发者群发广告。被盗的 QQ 号码是黑客用来计算用户密码习惯最好的素材。他们进行编译、分析、比对后,从而对网银或者支付宝之类支付工具进行破解。而邮件群发者不在乎用户是否找回密码,只是根据特定的信息,来发放广告。老信还有其他特定用处。
最夸张的是,由于一般都是在晚上 12 点开箱子(指新鲜的信封被放到市场上),而到了第二天天亮,被盗号的用户都会发现自己的 QQ 号被盗,从而修改密码或者采取安全保护,让信封中大量的号失效。所以整个销赃的过程都集中在晚上 12 点早上 7 点之间。看似复杂的过程,在互联网黑市上,只用了 7 个小时就彻底完成了从头到尾的完整的流水线。每一个信就像一头牛,从剥皮,拆骨,切肉… 到了早上 7 点,只剩一滩血污。
最后
目前公开发生现象的仅是其背后巨大运作链条中的其中一环,还有更多我们明面无法察觉的事情正在暗中运作。会上当的人终究会上当,希望大家一定要时刻注意保护隐私,提高安全意识。就像软件开发的一条安全准则:永远不要相信客户端的输入。
后续
本节内容更新于同年 7 月 27 日。挺惊讶,在 7 月 5 日,超星官方负责人来联系过我,因为组织名单中不乏有一些商业&军事科研单位,所以需要让我帮忙将工具暂停使用,所以在之后的时间里大家在打开工具时,会有「应有关部门要求,该工具暂不开放」的提示。但其实组织名录数据副本已经遍地开花,有心之人依然能够获得,估计是当时网信办正在调查,需要他们负责收拾国内环境的摊子。
细则如下:
YUhSMGNITTZMeTluZUhwMkxtTnZiUzloY0drdmRYQnNiMkZrY3k5aWJHOW5MM1ZmTVY4Mk1tVXdaVGcwWlRGbU1qTXhYekV6TURaNE9URXlMbkJ1Wnc9PQYUhSMGNITTZMeTluZUhwMkxtTnZiUzloY0drdmRYQnNiMkZrY3k5aWJHOW5MM1ZmTVY4Mk1tVXdaVGxsTmpCbU5tSXhYelkwTW5nek16YzRMbXB3WldjPQ整个事情的过程大概就是这样,没有任何其他利益来往。另外在添加这位负责人时,我有通过他的手机号进行社工,基本确认其是超星集团下的负责人。此外,我于 7 月 25 日向其咨询了这次事件的后续:
YUhSMGNITTZMeTluZUhwMkxtTnZiUzloY0drdmRYQnNiMkZrY3k5aWJHOW5MM1ZmTVY4Mk1tVXdaV013WW1FM01qZzVYelkwTW5nM056Z3VhbkJsWnc9PQ至此。