高校網(wǎng)站漏洞一年現(xiàn)2868個 能查上萬師生信息

如今校園一卡通和校園網(wǎng)在高校已經(jīng)比較普遍，師生吃飯、選課、查成績、申請助學(xué)金等都可以在學(xué)校的網(wǎng)站上辦理。因此，高校網(wǎng)站掌握大量學(xué)生個人信息。

事件學(xué)生遭遇“精準(zhǔn)推銷”疑信息被泄露

　　剛上大四的學(xué)生小呂，最近時常能收到一些培訓(xùn)學(xué)?？佳姓n程的推銷短信。垃圾短信并不奇怪，但小呂納悶的是，個別學(xué)校清楚地知道他正在上大四并了解他在哪個專業(yè)學(xué)習(xí)，甚至清楚地知道他的英語成績較弱。“我以前是報過英語班，會不會是在那里泄露的？”小呂感到很奇怪。

　　小呂的同學(xué)收到的一條短信，讓他對信息泄露源產(chǎn)生了懷疑。

　　小呂告訴記者，這名同學(xué)在前三年曾“掛科”，大四要面臨清考。這名同學(xué)收到的短信稱，對方是一名“黑客”，可以進入學(xué)校的教務(wù)系統(tǒng)修改成績，所以只要花錢，就不用擔(dān)心掛科。同樣的短信，不存在“掛科”問題的小呂和其他同學(xué)都沒有收到。

　　由此，小呂覺得肯定有人“黑”進了教務(wù)系統(tǒng)，看到了這些“需求”才發(fā)送的短信。小呂告訴記者，他們并不相信黑客改成績就能讓他們順利畢業(yè)，但卻讓他們懷疑，自己的個人信息有可能是被“黑”出來的。

　　記者隨機詢問了20余名在校大學(xué)生，幾乎所有同學(xué)都表示從大一開始就遇到過針對四六級考試、考研、商品銷售等方面的垃圾短信。一些畢業(yè)生則表示，考研培訓(xùn)等信息一直到畢業(yè)后一年還會收到，但之后就沒有了。

　　面對如此精準(zhǔn)的“推銷”，大部分人都搞不清自己的信息是如何泄露的。

　　追訪上萬學(xué)生學(xué)分可查

　　記者在補天漏洞平臺看到一名“白帽子”（識別計 算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會惡意去利用，而是公布其漏洞的人）于10月24日提交的報告顯示，北京師范大學(xué)的系統(tǒng)中存在一種漏洞，只要隨便 找到一個學(xué)號，就可以查詢上萬名學(xué)生和教職工的信息。

　　補天漏洞響應(yīng)平臺專家向記者演示，通過該漏洞，黑客可以查詢到該校上萬名師生的姓名、學(xué)號、院系、曾用名、電話、身份信息、各學(xué)科學(xué)分、郵箱等，甚至2006年入學(xué)的學(xué)生信息也可被“挖出”。將這些信息分類整理，就是一份“精準(zhǔn)的客戶 名單”。比如，藝術(shù)與傳媒學(xué)院舞蹈專業(yè)在職研究生王某的信息當(dāng)中，可以查到她2014年到2015年春季學(xué)期編舞技法、舞蹈藝術(shù)結(jié)構(gòu)等的各個學(xué)科的分?jǐn)?shù)。

　　此外專家發(fā)現(xiàn)，通過漏洞，“黑客”還有可能掌握學(xué)校的信息平臺，直接使用學(xué)校的短信平臺向特定師生或工作人員發(fā)送短信。

　　補天漏洞平臺的安全專家告訴記者，該校的這個漏洞比較低級，黑客不僅可以查看師生的個人信息并將數(shù)據(jù)庫信息全部“偷走”，留給“黑客”產(chǎn)業(yè)使用。甚至可以越權(quán)為某一名學(xué)生錄入或修改成績。

　　所以，小呂和同學(xué)們收到的修改成績的短信并非“空穴來風(fēng)”。

　　說法密碼太“低級”平臺不專業(yè)

　　出現(xiàn)漏洞的學(xué)校多，而漏洞也是五花八門。對于安全專家來說，有些漏洞低級得“可笑”。

　　記者看到，一所學(xué)校的網(wǎng)站管理員直接將密碼設(shè)置為12356這樣幾乎連續(xù)的數(shù)字，對于黑客來說，破解這個密碼太簡單了。

　　對此，360攻防實驗室負(fù)責(zé)人林偉表示，密碼設(shè)置簡單是安全意識不強，而造成這一情況的原因是多方面的。

　　他告訴記者，通常情況下高校除了有官網(wǎng)以外，還有院系網(wǎng)站，甚至還有各職能部門網(wǎng)站。但很多網(wǎng) 站并不都是由安全工程師搭建的。一些有相關(guān)專業(yè)的院校，甚至是學(xué)生直接參與搭建的。他們的運營經(jīng)驗不足，導(dǎo)致對安全風(fēng)險的預(yù)見性不足，容易在設(shè)計上出現(xiàn)紕 漏。而一些有網(wǎng)絡(luò)安全相關(guān)專業(yè)的院校，雖然也可能由學(xué)生參與搭建，但由于技術(shù)能力強，漏洞就非常少了。

　　還有些學(xué)校的網(wǎng)站安全人員流動快，往往過了幾年之后，新來的管理者根本不知道搭建者是誰，很多搭建信息和漏洞信息也就無從得知。

　　進展教育部進駐補天平臺縮短修復(fù)周期

　　記者了解到，教育部高度重視高校信息安全工作，教育部在年初就提出直屬高校的信息技術(shù)安全指導(dǎo)意見，并與公安部聯(lián)合部署系統(tǒng)安全等級保護工作，建立部署單位網(wǎng)絡(luò)安全通報機制。

　　事實上，很多“白帽子”在發(fā)現(xiàn)漏洞后，是無法與教育部直接溝通的。為此，他們會將漏洞信息提供 到補天漏洞相應(yīng)平臺、中國漏洞庫等平臺，再由平臺和教育主管部門或高校聯(lián)系。近日，教育部在“補天”注冊，白帽子提交漏洞信息后，平臺可以第一時間向教育 部通報。因此，漏洞從被發(fā)現(xiàn)、到審核、提交的時間被大大縮短了。

　　“高校網(wǎng)站修復(fù)時間從幾周甚至幾個月，縮短到1到3天，有的漏洞做到了當(dāng)天發(fā)現(xiàn)當(dāng)天修復(fù)。”補天漏洞平臺負(fù)責(zé)人介紹。

　　在他看來，教育部在“補天”注冊后，起到了帶頭作用，幾十所高校也扎堆來注冊，某高校24日被發(fā)現(xiàn)漏洞，補天平臺及時推送，當(dāng)天就被確認(rèn)，第二天被修復(fù)，最大限度地避免了信息泄露。