可汗学院用户凭证泄露报告 #3099978
报告概述
安全研究人员a0xtrojan于2025年4月18日向可汗学院提交了一份安全报告,指出在Telegram机器人上发现了大量可汗学院域的用户凭证泄露。虽然泄露数据的确切来源未知,但暴露的信息量相当大。
复现步骤
- 访问指定的聊天机器人
- 启动聊天机器人
- 添加www.khanacademy.org/login
- 获取并下载包含邮箱和密码的凭证数据
示例凭证(已脱敏):
- ██████ : ███
- ████ : ██████
- ███ : ████████
影响分析
- 用户邮箱和密码暴露,导致凭证泄露
- 如果用户在多个平台重复使用密码,账户被接管的风险增加
- 可能针对受影响用户进行钓鱼和社会工程学攻击
- 用户数据泄露带来的声誉损害
- 根据适用的数据保护法律,可能面临监管和合规风险
处理时间线
- 2025年4月18日:报告提交
- 2025年4月21日:可汗学院员工samhays_ka将状态改为"已分类"
- 2025年5月6日:报告关闭,状态改为"已解决"
- 2025年6月12日:报告请求披露
- 近期:研究人员多次请求隐藏Telegram机器人信息
处理结果
可汗学院确认已重置所有相关账户的密码(除"未知"账户外),并向研究人员赠送了"友好黑客"徽章作为奖励。该程序目前仅提供徽章作为奖励,不提供其他物质奖励。
安全细节
- 严重程度:高(7 ~ 8.9)
- 弱点类型:敏感信息明文存储
- CVE ID:无
- 奖励:无