一個學號能查上萬師生資訊 高校網站漏洞一年現2868個
- 發佈時間:2015-11-05 15:11:41 來源:新華網 責任編輯:羅伯特
如今校園一卡通和校園網在高校已經比較普遍,師生吃飯、選課、查成績、申請助學金等都可以在學校的網站上辦理。因此,高校網站掌握大量學生個人資訊。
但《法制晚報》(微信公號:fzwb_52165216)記者近日從中國最大的網站漏洞響應平臺補天漏洞響應平臺發現,數百所高校存在漏洞,這些本應安全的資訊存在著被洩露的風險。
近日,教育部在該平臺註冊,希望借助民間“白帽子”駭客的力量搜尋漏洞,避免資訊洩露。
事件 學生遭遇“精準推銷” 疑資訊被洩露
剛上大四的學生小呂,最近時常能收到一些培訓學校考研課程的推銷短信。垃圾短信並不奇怪,但小呂納悶的是,個別學校清楚地知道他正在上大四並了解他在哪個專業學習,甚至清楚地知道他的英語成績較弱。“我以前是報過英語班,會不會是在那裏洩露的?”小呂感到很奇怪。
小呂的同學收到的一條短信,讓他對資訊洩露源産生了懷疑。
小呂告訴記者,這名同學在前三年曾“挂科”,大四要面臨清考。這名同學收到的短信稱,對方是一名“駭客”,可以進入學校的教務系統修改成績,所以只要花錢,就不用擔心挂科。同樣的短信,不存在“挂科”問題的小呂和其他同學都沒有收到。
由此,小呂覺得肯定有人“黑”進了教務系統,看到了這些“需求”才發送的短信。小呂告訴記者,他們並不相信駭客改成績就能讓他們順利畢業,但卻讓他們懷疑,自己的個人資訊有可能是被“黑”出來的。
記者隨機詢問了20余名在校大學生,幾乎所有同學都表示從大一開始就遇到過針對四六級考試、考研、商品銷售等方面的垃圾短信。一些畢業生則表示,考研培訓等資訊一直到畢業後一年還會收到,但之後就沒有了。
面對如此精準的“推銷”,大部分人都搞不清自己的資訊是如何洩露的。
追訪 上萬學生學分可查
法晚記者(微信公號:fzwb_52165216)在補天漏洞平臺看到一名“白帽子”(識別電腦系統或網路系統中的安全漏洞,但並不會惡意去利用,而是公佈其漏洞的人)于10月24日提交的報告顯示,北京師範大學的系統中存在一種漏洞,只要隨便找到一個學號,就可以查詢上萬名學生和教職工的資訊。
補天漏洞響應平臺專家向《法制晚報》記者演示,通過該漏洞,駭客可以查詢到該校上萬名師生的姓名、學號、院係、曾用名、電話、身份資訊、各學科學分、郵箱等,甚至2006年入學的學生資訊也可被“挖出”。將這些資訊分類整理,就是一份“精準的客戶名單”。比如,藝術與傳媒學院舞蹈專業在職研究生王某的資訊當中,可以查到她2014年到2015年春季學期編舞技法、舞蹈藝術結構等的各個學科的分數。
此外專家發現,通過漏洞,“駭客”還有可能掌握學校的資訊平臺,直接使用學校的短信平臺向特定師生或工作人員發送短信。
補天漏洞平臺的安全專家告訴記者,該校的這個漏洞比較低級,駭客不僅可以查看師生的個人資訊並將數據庫資訊全部“偷走”,留給“駭客”産業使用。甚至可以越權為某一名學生錄入或修改成績。
所以,小呂和同學們收到的修改成績的短信並非“空穴來風”。
説法 密碼太“低級” 平臺不專業
出現漏洞的學校多,而漏洞也是五花八門。對於安全專家來説,有些漏洞低級得“可笑”。
記者看到,一所學校的網站管理員直接將密碼設置為12356這樣幾乎連續的數字,對於駭客來説,破解這個密碼太簡單了。
對此,360攻防實驗室負責人林偉表示,密碼設置簡單是安全意識不強,而造成這一情況的原因是多方面的。
他告訴記者,通常情況下高校除了有官網以外,還有院係網站,甚至還有各職能部門網站。但很多網站並不都是由安全工程師搭建的。一些有相關專業的院校,甚至是學生直接參與搭建的。他們的運營經驗不足,導致對安全風險的預見性不足,容易在設計上出現紕漏。而一些有網路安全相關專業的院校,雖然也可能由學生參與搭建,但由於技術能力強,漏洞就非常少了。
還有些學校的網站安全人員流動快,往往過了幾年之後,新來的管理者根本不知道搭建者是誰,很多搭建資訊和漏洞資訊也就無從得知。
進展 教育部進駐補丁平臺 縮短修復週期
法晚記者(微信公號:fzwb_52165216)了解到,教育部高度重視高校資訊安全工作,教育部在年初就提出直屬高校的資訊技術安全指導意見,並與公安部聯合部署系統安全等級保護工作,建立部署單位網路安全通報機制。
事實上,很多“白帽子”在發現漏洞後,是無法與教育部直接溝通的。為此,他們會將漏洞資訊提供到補天漏洞相應平臺、中國漏洞庫等平臺,再由平臺和教育主管部門或高校聯繫。近日,教育部在“補天”註冊,白帽子提交漏洞資訊後,平臺可以第一時間向教育部通報。因此,漏洞從被發現、到審核、提交的時間被大大縮短了。
“高校網站修復時間從幾週甚至幾個月,縮短到1到3天,有的漏洞做到了當天發現當天修復。”補天漏洞平臺負責人介紹。
在他看來,教育部在“補天”註冊後,起到了帶頭作用,幾十所高校也扎堆來註冊,某高校24日被發現漏洞,補天平臺及時推送,當天就被確認,第二天被修復,最大限度地避免了資訊洩露。(范博韜 陳涵)
