可汗学院用户密码泄露事件报告
事件概述
黑客通过Telegram机器人发现大量可汗学院域的用户凭证泄露。虽然泄露数据的准确来源未知,但暴露的信息量相当大。本报告提交以供审查,旨在评估和减轻用户凭证(包括邮箱和密码)的暴露风险。
复现步骤
- 访问指定的聊天机器人
- 启动该聊天机器人
- 添加
www.khanacademy.org/login - 下载获得的密码和邮箱
示例凭证(已打码):
- ██████ : ███
- ████ : ██████
- ███ : ████████
影响
- 用户邮箱和密码暴露,导致凭证泄露
- 如果用户跨平台重复使用密码,账户接管(ATO)风险增加
- 可能针对受影响用户进行钓鱼和社会工程攻击
- 因用户数据泄露导致的声誉损害
- 根据适用的数据保护法律,存在监管和合规风险
时间线
- 2025年4月18日:a0xtrojan提交报告
- 2025年4月19日:黑客询问更新
- 2025年4月20日:再次询问更新
- 2025年4月21日:可汗学院员工将状态改为"已分类",并承诺发放友好黑客徽章
- 2025年5月6日:可汗学院确认已重置所有相关账户密码,报告状态改为"已解决"
- 2025年6月12日:请求公开此报告
- 近期:黑客多次请求隐藏Telegram机器人信息
处理结果
可汗学院确认已确保所有相关账户(除"未知"等外)的密码已被重置。该程序仅提供徽章作为奖励,不提供其他形式的感谢品。
技术细节
- 报告ID:#3099978
- 严重程度:高(7~8.9)
- 弱点:敏感信息明文存储
- CVE ID:无
- 赏金:无