可汗学院 | 报告 #3099978 - 部分可汗学院用户密码泄露 | HackerOne

**跳过主内容 > Hacktivity机会目录排行榜了解更多关于HackerOne登录85#3099978复制报告ID复制报告ID部分可汗学院用户密码泄露分享：时间线ID验证成功完成ID验证检查的黑客。a0xtrojan 提交报告给可汗学院。2025年4月18日，下午4:11 UTC菜单菜单我发现大量针对您域的凭证在Telegram机器人上：████虽然泄露数据的确切来源未知，但暴露信息的量很大。本报告提交供您审查，以评估和减轻用户凭证（包括电子邮件和密码）的暴露。复现步骤：1-访问此聊天机器人 ===> ██████ 2-启动聊天机器人 3-添加 www.khanacademy.org/login 4-您将获得密码和电子邮件，只需下载它们 ███████尝试（用户名或电子邮件：密码）██████ : ███ ████ : ██████ ███ : ████████影响用户电子邮件和密码暴露，导致凭证泄露。如果用户跨平台重用密码，账户接管（ATO）风险增加。针对受影响用户的钓鱼和社会工程攻击可能性。由于用户数据泄露导致的声誉损害。根据适用的数据保护法律，监管和合规风险。ID验证a0xtrojan 发表评论。2025年4月19日，上午6:57 UTC菜单菜单有任何更新吗？！ID验证a0xtrojan 发表评论。2025年4月20日，下午4:19 UTC菜单菜单有任何更新吗？！samhays_ka 可汗学院员工将状态更改为已分类。2025年4月21日，下午2:46 UTC菜单菜单感谢报告！我已在我们内部跟踪器中创建问题，以便我们研究解决。如果您发送您的可汗学院账户电子邮件或用户名，我很乐意给您我们的友好黑客徽章。ID验证a0xtrojan 发表评论。2025年4月21日，下午2:59 UTC菜单菜单嗨 @samhays_ka 用户名 (a0xtrojan)samhays_ka 可汗学院员工发表评论。2025年4月21日，下午3:04 UTC菜单菜单感谢，徽章应在今天添加到您的账户！ID验证a0xtrojan 发表评论。2025年4月21日，下午6:01 UTC菜单菜单嗨 @samhays_ka 我能获得纪念品吗？还是不可用作为感谢？@a0xtrojan samhays_ka 可汗学院员工发表评论。2025年4月21日，下午6:49 UTC菜单菜单嗨 @a0xtrojan - 目前，我们仅提供徽章作为此计划的奖励。您可以在这里阅读更多相关信息——但感谢您帮助识别这些问题，希望您继续努力并保持提交！samhays_ka 可汗学院员工关闭报告并将状态更改为已解决。2025年5月6日，下午8:12 UTC菜单菜单再次感谢报告 @a0xtrojan。我们已确保所有账户（除“未知”等外）已重置密码。因此，我关闭报告。请继续提交报告，帮助我们保持可汗学院安全！a0xtrojan 请求披露此报告。2025年6月12日，上午10:31 UTC此报告已披露。2025年7月12日，上午10:31 UTCID验证a0xtrojan 发表评论。2025年7月12日，下午8:54 UTC菜单菜单嗨 @samhays_ka 请隐藏Telegram机器人ID验证a0xtrojan 发表评论。2025年7月13日，下午8:36 UTC菜单菜单嗨 @samhays_ka 请隐藏Telegram机器人ID验证a0xtrojan 发表评论。2025年7月14日，上午10:16 UTC菜单菜单嗨 @samhays_ka 请隐藏Telegram机器人samhays_ka 可汗学院员工发表评论。2025年7月14日，下午1:58 UTC菜单菜单具体是什么意思？您原始报告中的URL？ID验证a0xtrojan 发表评论。更新于2025年7月14日，下午2:08 UTC菜单菜单嗨 @samhays_ka 在Telegram机器人上：████ 这个隐藏，先生我需要报告中隐藏报告于2025年4月18日，下午4:11 UTC报告由a0xtrojan 报告给可汗学院参与者报告ID #3099978已解决严重性高（7 ~ 8.9）披露于2025年7月12日，上午10:31 UTC弱点敏感信息明文存储CVE ID无奖励无账户详情无

看起来您的JavaScript已禁用。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。