贝壳财经记者了解到,只要拥有足够的时间和算力,用户密码可以被解开。例如主流的"彩虹表"密码破译技术,可以把所有可能的密码计算出哈希(哈希值是将任意长度的输入字符串转换为密码并进行固定输出的过程。)并保存在索引文件中,在需要破解时只需根据哈希对索引文件进行查询即可很快获得明文密码。
6月21日至22日,贝壳财经记者检索黑灰产平台发现,随着学习通事件发酵,越来越多黑灰产买家和卖家参与其中,有卖家称"已购入数据,入库后免费开放查询",有买家在花费500美元购买到学习通数据后发现被骗。对此,甚至有卖家站出来"打假"表示,"只有自己的数据才是真的。"
邱同学告诉贝壳财经记者,他之所以能在社工库搜索到自己的数据,应该是数据已经被黑客卖给了社工库的维护人员。据他监测,学习通的数据从最开始的约1300美元价格经过几轮倒卖,已经降价到3000元人民币,"应该已经被转手过几次了"。
邱同学称,此事引爆舆论并不是他本意,事件发酵的速度超出自己预期,也说明大家对个人隐私泄露越来越关注。"我认为这件事情给学校和平台都敲响了警钟,核心机密数据不应储存于商业公司之手,要切实把网络安全建设落地。"
违规收集个人信息,学习通去年被工信部要求整改
贝壳财经记者下载学习通APP看到,其在苹果ios商店中的评分只有1.4分。最新评论中不少用户指出"侵犯隐私",不过更多的还是用户吐槽该APP使用不方便,包括"考试时被强制交卷了,动不动说我切屏"。
贝壳财经体验其使用过程看到,学习通APP进行个人注册需提供手机号码,单位用户则需在此基础上提供个人姓名、登录账号(学号/工号)以便单位管理统计。当用户使用学习通中的打卡签到、图片上传、超星课堂等功能时,可能会需要开启位置信息、摄像头、相册、麦克风等访问权限。
