近日,印度最大的在线教育平台Unacademy承认发生数据泄露事件,暴露了大约1100万用户的个人详细信息。
事件发生前,Unacademy刚完成4亿美元融资并在新冠疫情期间业务发展迅猛。
在周二(5月5日)发布的博客文章中,网络安全情报公司Cyble表示已收购了一个包含近2200万个Unacademy用户账户的数据库(Unacademy在声明中指出自己只有1100万用户),该数据库在darkweb上的售价为2,000美元。
泄漏的数据包括用户ID、名称和用户名、加密密码、电子邮件地址、加入日期和上次登录时间。
Cyble透露,数据泄露发生于2020年1月。
Cyble补充说:
攻击者声称他们有权访问Uncademy的整个数据库。但是,他们决定在此时仅泄漏“用户的账户”,预计在不久的将来会进一步泄漏其他数据。
但Unacademy的联合创始人兼CTO Hemesh Singh在一份声明中向学习者保证,“没有泄露任何敏感信息,例如财务数据、位置或密码。”
迄今为止,安全研究人员“无法确认还有谁可以访问(已泄露)数据”。
Cyble已建议Unacademy用户更改账户密码,在可能的情况下启用多因素身份验证,并避免在第三方服务上使用公司电子邮件地址。
他们还敦促受影响的用户密切关注其财务账户中的异常交易,并敦促Cyble的博客和darkweb数据泄露监视平台进行进一步更新。
Unacademy的CTO Singh说:
对我们的用户而言,数据安全和隐私保护对我们至关重要。我们正在竭尽所能,以确保不会破坏任何个人信息。
我们使用带有SHA256哈希算法的PBKDF2方法严格加密,这使得任何人都难以解密密码。我们还遵循基于OTP的登录系统,该系统为用户提供了额外的安全性。
我们正在做全面的背景调查,并将解决任何潜在的安全漏洞,以进一步建立更强大的安全机制。我们正在与用户沟通,以使他们了解最新进展。
Unacademy表示,在六个月内,有30万名学生一起参加了2400个在线课程。
这家在线教育巨头于2015年在班加罗尔成立,在4月份的全国新冠疫情封锁期间,产品使用率激增了82%,甚至Facebook也作为投资方参与了其前不久完成的4亿美元融资。