Unacademy遭受重大数据破坏：2200万条暗网记录被出售

Unacademy，一个由Facebook支持的，位于印度的在线学习平台，遭受了严重的数据泄露，因此，一些网络犯罪分子现在正在赚钱。我们之所以知道这一点，是因为来自网络安全公司Cyble的研究人员最近注意到一个地下市场上的一则广告，该广告出售一个数据库，根据该描述，该数据库包含2000万个Unacademy帐户。为了将其添加到其AmIBreached.com漏洞监控服务中，Cyble的专家获取了该数据库，并意识到该数据库实际上包含的记录不到2200万条。但是，更令人惊讶的是，价格仅为2,000美元。

Table of Contents

安全地散列密码使价格下降

被盗信息的广泛可用性意味着此类数据库通常非常便宜。但是，在这种情况下，一美元可以使您获得不到11000个帐户，这是一个惊人的低价。不过，这有充分的理由。

Cyble与Bleeping Computer的记者共享了该数据库，他们证实了转储中存储的密码已使用SHA256（一种强大的哈希算法）进行了哈希处理。将哈希值转换为纯文本密码将非常困难，并且骗子可能不愿意投资，这可能需要一些时间。更重要的是，Unacademy的CTO Hemesh Singh告诉Bleeping Computer，该平台具有“基于OTP的登录系统”，可以进一步保护受影响的用户。

出于谨慎考虑，仍建议Unacademy用户更改密码，但是可以说，目前在暗网上出售的数据库不会对帐户立即构成威胁。但是，这并不意味着违规是无关紧要的。

黑客可以通过多种不同方式利用Unacademy数据

除了SHA256哈希之外，每个记录还包含用户的名字和姓氏，用户名，电子邮件地址，最后登录日期和帐户创建日期。换句话说，拥有2,000美元剩余资金的黑客仍然可以访问大量可用信息。公开的数据可能是精心设计的鱼叉式网络钓鱼攻击的基础，考虑到某些受影响人员的职位，这些攻击可能会带来严重的后果。

根据Cyble的说法，因Unacademy漏洞而暴露的大量用户在注册过程中使用了他们的公司电子邮件。他们中的一些人为大型科技公司工作，例如Facebook，Google，Infosys，Cognizant和Wipro。如果他们的社交工程技能足够好，则黑客可能会诱使受害者共享信息，从而给大型公司的网络造成威胁。

显然，在这一点上，这只是一个假设，总的来说，很难估计违规的影响有多大，尤其是考虑到围绕它的未知数。