楠木軒

大中小學數據倒賣 信息漏洞真相太可怕

由 由振山 發佈於 綜合

  大中小學數據倒賣,信息漏洞真相太可怕。8月19日,剛剛被南京郵電大學錄取的山東臨沂女孩徐玉玉遭遇電信詐騙,9900元學費被騙走。導致徐玉玉被騙的直接原因,系其聯繫方式以及領取教育助學金的信息被泄露。

  根據《沂蒙晚報》報道,8月18日,被騙前一天,徐玉玉接到了來自真實教育部門的助學金電話通知。詐騙嫌疑人則以“領取助學金”為由,輕易博取了徐玉玉的信任,並騙取了全家省吃儉用大半年節省下來的9900元學費。

大中小學數據倒賣 信息漏洞真相太可怕

  19日晚,徐玉玉及其家人前往派出所報案,在回家的路上,徐玉玉突然暈厥,雖經醫院歷經兩日的全力搶救,但仍沒能挽回她18歲的生命。該事件已經引起廣泛關注。截至目前,微信公眾平台上討論此事的文章約4400篇,人民網微博客户端相關微博下,已經有超過2萬條評論。

  23日晚,臨沂公安微博發佈“開學在即 謹防以助學金為名的詐騙方式”的警示內容,同時,臨沂警方成立專案組調查此案件。

  需要警惕的是,根據教育部公佈信息,國家助學金覆蓋了全國20%的本專科生。根據國家統計局信息,2015年,全國普通本專科招生737.8萬人,在校生2625.3萬人,按此比例計算,今年剛剛入學、領取助學金的大一新生約150萬人,而在校領取助學金的大學生約500萬人。他們,都有可能因為助學金信息泄露面臨詐騙風險。

  目前,並不清楚助學金信息的泄露原因。南京郵電大學已經與警方聯繫,並稱“未聯繫過發放助學金事宜”。知情人士介紹,“助學金從申請到發放存在多個環節,每個環節都可能泄露信息。”根據要求,助學金申請信息包含姓名、身份證信息、聯繫方式、住址等26項內容。

  倒賣學生數據習俗

  由於普遍不具備經濟能力,且資金不充裕,學生羣體並非電信詐騙的重災區。但這並非意味着學生羣體安全係數高。事實上,在記者接觸的多類羣體中,學生信息堪稱“最沒有安全保障”的一類。

  近日,記者接觸到數個倒賣用户數據的業內人士,其中3人向告訴記者:“只要你聽説過的學校,不論大學、中學、小學,(它們的數據)都有。”

  其中一位人士向記者展示的上海某知名大學數據,包含了學生姓名、學號、性別、年齡、身高、體重、聯繫方式、專業等詳盡信息。此外,該人士表示可以拿到“全國中小學生學籍信息管理系統”,包括學籍號、學校、入學方式、住址、家庭成員等等。該人士表示, “國內學校,有一半數據我都有。即使手頭沒有的,只要你告訴我名字,我也都能拿到。”

  全國中小學生學籍信息管理系統,是由教育部在2012年開始實施上線的系統,旨在對全國範圍內的學生註冊、學生信息維護、畢業升級、學籍異動實施信息化管理,全國超過1.4億名中小學信息存儲在該系統上。

  根據多位人士報價,“新鮮出爐”、“沒有賣過”的一手學生數據,售價約1-2元/條,大量採購還有優惠。而二手的數據,基本低於1毛,如果批量購買,1萬條二手數據約300-500元。在整個數據黑色產業領域,學生數據售價偏低,相比之下,一些從淘寶、京東、唯品會等電商平台流出的一手數據,售價在3-5元以上,高峯期售價一度達到20-30元/條。除此之外,在數據黑產中,電商、銀行、股市、車輛交易等數據應有盡有。在上述業內人士看來, “買數據的,都是拿來騙人的,學生基本騙不到錢,數據賣不上價,鄉鎮之類學校的數據都賣不出去。”

  10年前,學生數據要比現在值錢。一位北京某學校教師告訴記者:“倒賣生源數據的漏洞長期存在。很多民辦大學會借合法專業的名義搞非法成教、網教來招生。每年高考之後,他們就從各省買考生數據,當時一個省考生數據售價幾十萬元。每年賣出10多萬的名單。”

  對於開設成教、網教教育的學校而言,“高分學生數據不值錢,都是白送,分數低的才值錢。拿到數據之後,學校安排話務組開始打電話,幾天就能招50-60人。”該教師告訴記者:“有的學校每年因此盈利上億元,2006年左右,吃這碗飯的人粗略估計有20多萬。”

  “學校、教師、教育局、招生辦,能拿到學生數據的部門太多了,很多人都可能成為泄露數據的源頭。不光賣學生數據,學校教師的數據也都被賣出去了,老師天天都接好多推銷電話”,該人士回憶稱:“2008年之後,主管部門發文明確倒賣生源數據是違法行為,但也沒有控制住。後來,因為生源減少,公立專業都招不滿,民辦的招不到生源,這個生意才淡下來。”

  幾分鐘攻破學校漏洞

  行業內市場衰落,行業外的電信詐騙、廣告推銷市場則開始興起,而大量的學生數據流入黑色產業。

  “數據流入黑產的途徑有三種”,數據庫安全企業安華金和的安全專家告訴記者:“一種是接觸到數據的工作人員泄露數據,一種是黑客入侵目標獲取數據,還有一種是第三方IT系統服務公司在提供服務時獲取數據並泄露。”

  一位教育信息化資深人士告訴記者:“學生數據存放在很多地方,學校、招生辦、教育機構等等。目前中小學數據教育部會提供統一平台,但大學數據,則存儲在各個大學自己手中。”數據存儲渠道的多樣,增加了接觸數據人員的數量,也無限放大了內部人員泄密的風險。

  另一方面,多位來自信息安全領域的權威人士告訴21世紀經濟報道記者:“教育行業的信息安全能力普遍極低。”在360旗下補天漏洞平台上,最近兩年內提交的相關教育機構的漏洞超過1100條,“實際上遠比這多,主要是教育機構漏洞太多,白帽子都懶得去測試,因為沒有成就感。隨便一個入門的黑客,都能搞定絕大多數學校系統,幾乎不耗時間,甚至只需要敲幾下回車就可以。”

  一位信息安全資深人士對某部委直屬大學做了測試,僅用幾分鐘即發現了該大學的漏洞,目前該大學已經修復該漏洞。需要指出,根據補天漏洞平台信息,該平台上最近兩年內提交的清華大學、北京大學也均在50個左右。此外,近年來,因為“套號學歷”、“學歷造假”等事件,教育部指定的學歷查詢唯一網站學信網被屢次質疑,不過,教育部多次回應中強調“學信網安全”、“沒有漏洞”。

  2014年、2015年,教育部與公安部先後聯合印發《教育行業信息系統安全等級保護頂級工作指南(試行)》、《教育部 公安部關於全面推進教育行業信息安全等級保護工作的通知》,在全國開展信息系統安全等級定級備案工作。兩份通知中,學生的學籍、學位等信息管理系統大多列入第三級等級保護。教育行業最高安全保護等級為第三級。

  根據相關要求,私密級、絕密級、機密級信息系統的安全防護水平分別不低於第三級、第四級、第五級。根據人民銀行發佈文件,銀行部分系統最高防護等級為第四級。

  “教育監管部門,針對安全問題發佈的文件,主要是涉及到一些涉密項目,比如一些學校與軍工部門研究的保密項目,很少有關於數據隱私的保護文件” ,前述教育信息化行業人士告訴記者: “從這兩年分析的結果來看,信息安全,是一個全社會都漠視的問題,需要所有企業、機構去提高重視程度,靠公民提高安全意識,根本沒用。”