可汗学院用户密码泄露事件分析

本文详细记录了可汗学院用户凭证在Telegram机器人上泄露的安全事件。黑客通过特定聊天机器人获取了部分用户的邮箱和密码组合,暴露出密码重复使用带来的账户安全风险。报告包含完整的漏洞复现步骤和影响分析。

可汗学院用户密码泄露事件报告

事件概述

安全研究人员a0xtrojan在Telegram机器人上发现了大量可汗学院域的用户凭证。虽然泄露数据的具体来源未知,但暴露的信息量相当可观。该报告旨在帮助评估和减轻用户凭证(包括邮箱和密码)的暴露风险。

复现步骤

  1. 访问特定聊天机器人
  2. 启动聊天机器人
  3. 添加www.khanacademy.org/login
  4. 下载获取的密码和邮箱信息

示例凭证(已脱敏):

  • ██████ : ███
  • ████ : ██████
  • ███ : ████████

影响分析

  • 用户邮箱和密码暴露,导致凭证泄露
  • 如果用户在多个平台重复使用密码,账户被接管的风险增加
  • 可能针对受影响用户进行钓鱼和社会工程学攻击
  • 用户数据泄露带来的声誉损害
  • 根据适用的数据保护法规,存在监管和合规风险

处理时间线

  • 2025年4月18日:a0xtrojan提交漏洞报告
  • 2025年4月21日:可汗学院员工samhays_ka将状态改为"已分类"
  • 2025年5月6日:确认已重置所有相关账户密码,报告状态改为"已解决"
  • 2025年7月12日:报告被公开披露

处理结果

可汗学院确认已重置所有可识别账户(除"未知"账户外)的密码,有效缓解了安全风险。作为感谢,研究人员获得了"友好黑客"徽章,但未获得额外奖励。

技术细节

  • 严重程度:高(7 ~ 8.9分)
  • 弱点类型:敏感信息明文存储
  • CVE ID:无
  • 赏金:无

该事件凸显了密码重复使用和凭证泄露对在线教育平台的安全威胁,强调了定期更新密码和使用唯一密码的重要性。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次