近日���,印度在線(xiàn)教育平臺Unacademy承認發(fā)生數據泄露事件��,暴露了大約1100萬(wàn)用戶(hù)的個(gè)人詳細信息���。
事件發(fā)生前�,Unacademy剛完成4億美元融資并在新冠疫情期間業(yè)務(wù)發(fā)展迅猛��。
在周二(5月5日)發(fā)布的博客文章中�����,網(wǎng)絡(luò )安全情報公司Cyble表示已收購了一個(gè)包含近2200萬(wàn)個(gè)Unacademy用戶(hù)賬戶(hù)的數據庫(Unacademy在聲明中指出自己只有1100萬(wàn)用戶(hù))�����,該數據庫在darkweb上的售價(jià)為2,000美元�����。
泄漏的數據包括用戶(hù)ID��、名稱(chēng)和用戶(hù)名��、加密密碼����、電子郵件地址���、加入日期和上次登錄時(shí)間��。
Cyble透露�����,數據泄露發(fā)生于2020年1月���。
Cyble補充說(shuō):
攻擊者聲稱(chēng)他們有權訪(fǎng)問(wèn)Uncademy的整個(gè)數據庫�����。但是���,他們決定在此時(shí)僅泄漏“用戶(hù)的賬戶(hù)”��,預計在不久的將來(lái)會(huì )進(jìn)一步泄漏其他數據��。
但Unacademy的聯(lián)合創(chuàng )始人兼CTO Hemesh Singh在一份聲明中向學(xué)習者保證��,“沒(méi)有泄露任何敏感信息��,例如財務(wù)數據�、位置或密碼�����?�!?/span>
迄今為止�����,安全研究人員“無(wú)法確認還有誰(shuí)可以訪(fǎng)問(wèn)(已泄露)數據”���。
Cyble已建議Unacademy用戶(hù)更改賬戶(hù)密碼����,在可能的情況下啟用多因素身份驗證�����,并避免在第三方服務(wù)上使用公司電子郵件地址��。
他們還敦促受影響的用戶(hù)密切關(guān)注其財務(wù)賬戶(hù)中的異常交易��,并敦促Cyble的博客和darkweb數據泄露監視平臺進(jìn)行進(jìn)一步更新�����。
Unacademy的CTO Singh說(shuō):
對我們的用戶(hù)而言�����,數據安全和隱私保護對我們至關(guān)重要�����。我們正在竭盡所能���,以確保不會(huì )破壞任何個(gè)人信息����。
我們使用帶有SHA256哈希算法的PBKDF2方法嚴格加密���,這使得任何人都難以解密密碼�。我們還遵循基于OTP的登錄系統���,該系統為用戶(hù)提供了額外的安全性����。
我們正在做全面的背景調查����,并將解決任何潛在的安全漏洞����,以進(jìn)一步建立更強大的安全機制���。我們正在與用戶(hù)溝通��,以使他們了解最新進(jìn)展���。
Unacademy表示�,在六個(gè)月內�����,有30萬(wàn)名學(xué)生一起參加了2400個(gè)在線(xiàn)課程����。
這家在線(xiàn)教育巨頭于2015年在班加羅爾成立����,在4月份的全國新冠疫情封鎖期間�����,產(chǎn)品使用率激增了82%��,甚至Facebook也作為投資方參與了其前不久完成的4億美元融資�。
本文轉載自微信公眾號“安全?�!?/strong>