超星破解学习通学生信息泄露事件追踪：有卖家连夜出售，宣称被金主买断

学习通学生信息泄露事件追踪：有卖家连夜出售，宣称被金主买断

学习通官方微博截图

“消息多到爆炸，有什么事情直接说”“数据库不用问了，已经有人决定买断”……

6月21日晚，个别倒卖学习通数据的黑灰产仍不断释放最新消息。伴随1亿7273万条学生信息被曝泄露的消息热度蹿升，买家和卖家同样开始迅速活跃。

当晚22:15分，有买家在黑灰产平台上表示，数据“已经出售，被金主买断”。

新京报贝壳财经记者发现，M78Sec安全团队率先披露出超星学习通信息泄露。6月21日，此次事件爆料人、北京某安全公司创始人邱同学接受贝壳财经记者采访表示，自己前几日在某平台发现了学习通APP的数据正在被黑客兜售，于是进行仔细查证，经多人验证发现社工库（黑客将泄漏的用户数据集中归档的数据库）中泄露的个别信息与学习通信息高度一致，“其实我是一名创业的大学生，很不幸，我的数据也在泄露的范围内。”

针对此事，学习通当天回应称，其不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，“公司确认网上传言密码泄露是不实的”。学习通表示，收到用户数据疑似泄露的消息后已连续技术排查十余小时，暂未发现明确的用户信息泄露证据，公安机关已经介入调查。

黑灰产售卖信息

黑灰产倒卖热：有卖家宣称手握学生信息，有卖家打假

超星学习通是不少在校大学生的常用学习软件。此次被曝数据库信息遭公开售卖，包含姓名、手机号、性别、学校、学号、邮箱等信息1亿7273万条。

刚刚大学毕业的凯一告诉贝壳财经记者，在校期间需要使用超星学习通上课签到，看课件等，使用学习通APP为学校要求，与学分有关，所以很多学校在用，使用频率也较高。“每节课都需要”，根据凯一向记者展示的学习通APP截图，她的使用次数为3万次。

对于学习通数据疑似泄露，不少大学生用户表示担忧，“从昨天开始一直有骚扰电话”“最近天天有骚扰电话和短信不会因为这个吧？”

邱同学对贝壳财经记者表示，他在发现学习通数据疑似泄露后，从某数据库中找到了姓名、电话、学校、学号、性别等数据。之所以爆出这一事件，是因为不仅在泄露信息中发现了自己的基本信息，而且经比对后与其本人的超星学习通信息一致。他认为“极大概率来说，消息是准确的”，而且“一些名校也没有幸免于难”。

贝壳财经记者发现，有截图显示在6月18日或更早，就有卖家在黑灰产平台上公开宣称出售“1亿7273条学习通数据”。

对于学习通回应称“确认密码没有泄露”，贝壳财经记者登录黑灰产平台发现，有卖家在6月21日晚间发贴图暗示称，学习通所储存的加密数据可以通过技术破译，所以即便密码没有泄露也不影响黑产获取学生数据。

贝壳财经记者注意到，由于这一卖家率先抛出售卖学习通信息，引来不少买家询问。22:15分，其在黑灰产平台上表示，数据“已经出售，被金主买断”。

贝壳财经记者了解到，只要拥有足够的时间和算力，用户密码可以被解开。例如主流的“彩虹表”密码破译技术，可以把所有可能的密码计算出哈希（哈希值是将任意长度的输入字符串转换为密码并进行固定输出的过程。）并保存在索引文件中，在需要破解时只需根据哈希对索引文件进行查询即可很快获得明文密码。

6月21日至22日，贝壳财经记者检索黑灰产平台发现，随着学习通事件发酵，越来越多黑灰产买家和卖家参与其中，有卖家称“已购入数据，入库后免费开放查询”，有买家在花费500美元购买到学习通数据后发现被骗。对此，甚至有卖家站出来“打假”表示，“只有自己的数据才是真的。”

邱同学告诉贝壳财经记者，他之所以能在社工库搜索到自己的数据，应该是数据已经被黑客卖给了社工库的维护人员。据他监测，学习通的数据从最开始的约1300美元价格经过几轮倒卖，已经降价到3000元人民币，“应该已经被转手过几次了”。

邱同学称，此事引爆舆论并不是他本意，事件发酵的速度超出自己预期，也说明大家对个人隐私泄露越来越关注。“我认为这件事情给学校和平台都敲响了警钟，核心机密数据不应储存于商业公司之手，要切实把网络安全建设落地。”

违规收集 个人信息 ，学习通去年被 工信部 要求整改

贝壳财经记者下载学习通APP看到，其在苹果ios商店中的评分只有1.4分。最新评论中不少用户指出“侵犯隐私”，不过更多的还是用户吐槽该APP使用不方便，包括“考试时被强制交卷了，动不动说我切屏”。

贝壳财经体验其使用过程看到，学习通APP进行个人注册需提供手机号码，单位用户则需在此基础上提供个人姓名、登录账号（学号/工号）以便单位管理统计。当用户使用学习通中的打卡签到、图片上传、超星课堂等功能时，可能会需要开启位置信息、摄像头、相册、麦克风等访问权限。

值得一提的是，早在2021年1月，学习通APP（版本:4.8.1)曾因违规收集个人信息，被工信部通报，并要求其整改。同年7月，学习通（版本：4.8.5）因工信部检查发现仍涉及违规使用个人信息未完成整改，再次被通报。

6月22日，贝壳财经记者登录国家信息安全漏洞共享平台发现，超星学习通在2020年至2021年间分别被曝出过存在XSS漏洞、信息泄露漏洞和逻辑缺陷漏洞。其中，信息泄露漏洞主要为“超星学习通App存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息”。此外，逻辑缺陷漏洞为“超星学习通应用系统平台存在逻辑缺陷漏洞，攻击者可利用漏洞导致任意用户账户登录及泄露用户信息。”

根据国家信息安全漏洞共享平台记录，超星学习通在漏洞公布后曾更新过补丁。

国家信息安全漏洞共享平台显示超星学习通曾存在信息泄露漏洞

数据泄露有内外因，防数据“裸奔”迫在眉睫

贝壳财经记者调查发现，尽管目前无法确认黑灰产卖家标榜的“学习通数据”是否为真，但平台上已经不乏可能被泄露的学生个人信息，并几经倒手。记者注意到，黑灰产平台中，学生数据按本科生、硕士、博士、毕业生等被分类售卖。记者随即浏览几名卖家提供的样本信息发现，一些甚至包括大学生的实习经历和中小学生的家长信息。

奇安信数据安全专家、数据安全子公司副总经理姚磊对贝壳财经记者表示，从过去多起数据泄露事件来看，通常造成企业数据泄露的原因既可能是外部的，也可能是内部的，也存在二者皆有。攻击者可能利用目标系统漏洞或者窃取到的特权账户，获取了相应数据库管理员的权限，从而完成拖库行为。“此类事件此前也时有发生，比如领英数据泄露事件被证实为黑客利用其API漏洞所致。因此，企业应当加强数据安全防护力度，避免大量使用弱口令，对于发现的安全隐患要及时处置。”

姚磊称，内部原因也要分为两种情况：第一种有可能是运维人员的不当操作致使数据意外泄露；第二种则是有内鬼作祟，如果其内部权限管控缺失或者行为审计有纰漏，内部员工（如数据库管理员）可以利用自身系统权限，将数据库中的数据批量下载下来，然后进行倒卖。从这个角度来看，企业应采用技术手段，加强自身内部员工的权限管理和行为审计，对于某些超越权限或者高危操作应严格控制。

在超星学习通被曝可能存在信息泄露后，不少学生用户在社交平台公开发文质疑学习通的“使用次数”存在问题。网友“我是谁小怪兽”称，自己只在去图书馆需要预约时才使用学习通，却显示了4926次使用。网友“奶茶不要全糖要微糖”表示，自己的学习通使用次数有6万次。

对此，学习通回应称，使用量不是"使用学习通的次数"，而是用户使用学习通时向服务器发出的页面请求次数，类似于互联网请求的pv值（pageview），学习者有几十万学习通使用量是正常现象，而不是账号泄露的表现。

邱同学告诉贝壳财经记者，学习通的使用次数和信息泄露应该没有必然联系，“这次事件大概率是黑客入侵所致。”

他表示，自己参与过大量攻防演练，发现国内各大高校还需要将网络安全建设落到实处。“具体措施的建构，行业标准的制定需要有识之士共同努力。国家的网络安全建设有待各方长期共同发力，为更美好、更安全的互联网而战。”

奇安信集团副总裁、创新BG负责人孔德亮表示，近年来媒体多次曝出的信息泄露事件再次表明，很多企业机构的数据处在“裸奔”状态，这是数据安全当前的首要问题，防“裸奔”、补短板迫在眉睫，85%以上的客户需要从这开始。

记者联系邮箱：luoyidan@xjbnews.com

新京报贝壳财经记者罗亦丹

编辑王进雨宋钰婷

校对陈荻雁

当代大学生第一次网上期末考，新的作弊方法诞生了？

◎ 科技日报记者张盖伦

超星学习通，一款当代网课大学生又爱又恨的学习软件。

在全民网课时代，它是很多高校的指定网课平台。临近期末，它又承担起了新的重任——考试。

无法返校的学生，和上了一学期网课的老师，都得体验一把全新操作——在线期末考试。

没有实体考场，没有实体考卷，老师和同学都不在身边。考试，就靠手机、电脑和摄像头。

近日，一名高校老师发现，自己常用的某视频软件经常给她推送一些学习通相关视频。

Up主贴出来的标签，叫技术交流、干货分享。

她点进去才发现，这些所谓“技术交流”，教的是——如何在学习通上刷课，如何快速查找学习通题目答案，如何自动答题，以及，如何考试作弊。

其实，学习通为了监考，也是很拼。

它的新版本上线了监考模式，可以检测学生是否退出答题页面，人脸是否离开摄像头。如果多次熄屏，它会提醒学生“你已离开考场”；发现学生乱鼓捣屏幕，它也会如实记录下考生“切屏”多少次。到了时间，考生不可能像往常那样按住考试卷子高呼“再等一下，我还有一句话要补”了，它会自动强制交卷。

不过，既然存在技术，那么就有技术破解之道。

视频网站上，同样年轻的Up主们分享一些提升成绩的所谓“干货”。

在平时，他们告诉学生如何用工具实现自动刷课、自动搜题和自动答题；期末考试到了，内容自然也要与时俱进。他们亲自示范，告诉学生如何绕开软件内置的监考机制，实现考试时的“搜索引擎自由”；如何在手机上实现考试时的分屏答题；如何修改页面代码，突破老师提前设置的种种技术性限制，等等。

传统考场，作弊方式是夹带小抄；线上考场，作弊方式是找软件bug，是改代码，用插件。

这些视频的播放量，少的有几千，高的也能上万甚至十几万。

看到视频的上述老师惊讶并且愤怒：讨论考试如何作弊，已经可以这么明目张胆了吗？诚实这种品质，已经这么不重要了吗？

在这里，我们无意介绍那些作弊方法。当然，我们也知道，有心人看到这篇文章，很有可能会自行搜索。

《教育部普通高等学校学生管理规定》中，在学生诚信方面，有明确要求：

●学生严重违反考核纪律或者作弊的，该课程考核成绩记为无效，并应视其违纪或者作弊情节，给予相应的纪律处分。给予警告、严重警告、记过及留校察看处分的，经教育表现较好，可以对该课程给予补考或者重修机会；

●学校应当开展学生诚信教育，以适当方式记录学生学业、学术、品行等方面的诚信信息，建立对失信行为的约束和惩戒机制；对有严重失信行为的，可以规定给予相应的纪律处分，对违背学术诚信的，可以对其获得学位及学术称号、荣誉等作出限制。

而在高校内部的校纪校规中，若发现学生考场作弊，轻则警告记过，重则取消学位。

在网上大张旗鼓分享或者讨论作弊秘诀，是规则意识的淡薄，也是诚信精神的缺失。

学生或许觉得，这只不过是钻个小空子，耍点小聪明，不值得上纲上线。

作弊的动因，也可以找出很多。

他们觉得一些课并不重要，平时没有好好学，考试时想走点捷径；他们觉得一些课太重要，成绩关乎奖学金、学分绩和保研出国，所以考试时想给自己加上保险。还有可能是，老师在考试时考察的记忆性内容过多，学生懒得背，干脆找些旁门左道，一抄了之。

但无论动因是什么，作弊就是作弊。

尽管高校在普遍开展诚信教育，尽管考场上教师会对考试纪律三令五申，但诚信在教育中的地位，还没有得到足够凸显。

学生不够重视，老师和学校可能也未必重视。一些学校认为，“教书”第一，“育人”第二。学生不闹事，就万事大吉。至于考场作弊，睁一只眼闭一只眼，互不为难，你好我好大家好。

教育部此前再三强调，要深化本科教育教学改革，全面提高人才培养质量。其也指出，要严把考试和毕业出口关，加强考试管理，严肃考试纪律。

线上考试，有新漏洞。在漏洞被平台方堵住之前，这个漏洞要不要钻，取决于学生内心的道德法则，也取决于高校的校风学风建设。

浙江大学老校长竺可桢曾说 ：

“大学犹之海上之灯塔，

吾人不能于此时降落道德之标准也。

诸生在校尤应切记，

异日逢有作弊之机会是否能

涅而不缁、磨而不鳞，

此乃现代教育之试金石也。”

来源：科技日报文中图片均由作者提供

编辑：岳靓

审核：王小龙

终审：冷文生

超星破解学习通学生信息泄露事件追踪：有卖家连夜出售，宣称被金主买断

分类：手机软件日期：2025-01-20 浏览：23 评论：0

学习通学生信息泄露事件追踪：有卖家连夜出售，宣称被金主买断

当代大学生第一次网上期末考，新的作弊方法诞生了？

相关推荐

超星 破解 学习通学生信息泄露事件追踪：有卖家连夜出售，宣称被金主买断

分类：手机软件 日期：2025-01-20 浏览：23 评论：0

学习通学生信息泄露事件追踪：有卖家连夜出售，宣称被金主买断

当代大学生第一次网上期末考，新的作弊方法诞生了？

相关推荐

超星破解学习通学生信息泄露事件追踪：有卖家连夜出售，宣称被金主买断

分类：手机软件日期：2025-01-20 浏览：23 评论：0