Unacademy遭受重大數據破壞：2200萬條暗網記錄被出售

Unacademy，一個由Facebook支持的，位於印度的在線學習平台，遭受了嚴重的數據洩露，因此，一些網絡犯罪分子現在正在賺錢。我們之所以知道這一點，是因為來自網絡安全公司Cyble的研究人員最近注意到一個地下市場上的一則廣告，該廣告出售一個數據庫，據描述，該數據庫包含2000萬個Unacademy帳戶。為了將其添加到其AmIBreached.com漏洞監控服務中，Cyble的專家獲取了該數據庫，並意識到該數據庫實際上包含的記錄不到2200萬條。但是，更令人驚訝的是，價格僅為2,000美元。

Table of Contents

安全地散列密碼使價格下降

被盜信息的廣泛可用性意味著此類數據庫通常非常便宜。但是，在這種情況下，一美元可以使您獲得不到11000個帳戶，這是一個驚人的低價。不過，這有充分的理由。

Cyble與Bleeping Computer的記者共享了該數據庫，他們證實了轉儲中存儲的密碼已使用SHA256（一種強大的哈希算法）進行了哈希處理。將哈希值轉換為純文本密碼將非常困難，並且騙子可能不願意進行投資，這可能需要時間。此外，Unacademy的CTO Hemesh Singh告訴Bleeping Computer，該平台具有“基於OTP的登錄系統”，可以進一步保護受影響的用戶。

出於謹慎考慮，仍建議Unacademy用戶更改密碼，但是可以說，目前在暗網上出售的數據庫不會對帳戶立即構成威脅。但是，這並不意味著違規是無關緊要的。

黑客可以通過多種不同方式利用Unacademy數據

除了SHA256哈希之外，每個記錄還包含用戶的名字和姓氏，用戶名，電子郵件地址，最後登錄日期和帳戶創建日期。換句話說，擁有2,000美元剩餘資金的黑客仍然可以訪問大量可用信息。公開的數據可能是精心設計的魚叉式網絡釣魚攻擊的基礎，考慮到某些受影響人員的職位，這些攻擊可能會造成嚴重的後果。

根據Cyble的說法，因Unacademy漏洞而暴露的大量用戶在註冊過程中使用了他們的公司電子郵件。他們中的一些人為大型科技公司工作，例如Facebook，Google，Infosys，Cognizant和Wipro。如果他們的社交工程技能足夠好，則黑客可能會誘騙受害者共享信息，從而給大型公司的網絡造成威脅。

顯然，在這一點上，這只是一個假設，總的來說，很難估計違規的影響有多大，尤其是考慮到圍繞它的未知數。