數(shù)百所高校網(wǎng)站存漏洞 黑客稱可修改學(xué)生成績

韶華舞流年

2014年—2015年高校網(wǎng)站漏洞統(tǒng)計(jì)

　　如今校園一卡通和校園網(wǎng)在高校已經(jīng)比較普遍,，師生吃飯,、選課,、查成績、申請助學(xué)金等都可以在學(xué)校的網(wǎng)站上辦理,。因此,，高校網(wǎng)站掌握大量學(xué)生個人信息。

　　但《法制晚報(bào)》記者近日從中國最大的網(wǎng)站漏洞響應(yīng)平臺補(bǔ)天漏洞響應(yīng)平臺發(fā)現(xiàn)，數(shù)百所高校存在漏洞,，這些本應(yīng)安全的信息存在著被泄露的風(fēng)險(xiǎn),。
　　近日，教育部在該平臺注冊,，希望借助民間“白帽子”黑客的力量查找漏洞,，避免信息泄露。

　　事件 學(xué)生遭遇“精準(zhǔn)推銷”疑信息被泄露
　　剛上大四的學(xué)生小呂,，最近時常能收到一些培訓(xùn)學(xué)�,？佳姓n程的推銷短信。垃圾短信并不奇怪,，但小呂納悶的是,，個別學(xué)校清楚地知道他正在上大四并了解他在哪個專業(yè)學(xué)習(xí)，甚至清楚地知道他的英語成績較弱,�,！拔乙郧笆菆�(bào)過英語班，會不會是在那里泄露的?”小呂感到很奇怪,。

　　小呂的同學(xué)收到的一條短信,，讓他對信息泄露源產(chǎn)生了懷疑。
　　小呂告訴記者,，這名同學(xué)在前三年曾“掛科”,，大四要面臨清考。這名同學(xué)收到的短信稱,，對方是一名“黑客”,，可以進(jìn)入學(xué)校的教務(wù)系統(tǒng)修改成績，所以只要花錢,，就不用擔(dān)心掛科,。同樣的短信，不存在“掛科”問題的小呂和其他同學(xué)都沒有收到,。

　　由此,，小呂覺得肯定有人“黑”進(jìn)了教務(wù)系統(tǒng)，看到了這些“需求”才發(fā)送的短信,。小呂告訴記者,，他們并不相信黑客改成績就能讓他們順利畢業(yè)，但卻讓他們懷疑,，自己的個人信息有可能是被“黑”出來的,。

　　記者隨機(jī)詢問了20余名在校大學(xué)生，幾乎所有同學(xué)都表示從大一開始就遇到過針對四六級考試,、考研,、商品銷售等方面的垃圾短信,。一些畢業(yè)生則表示，考研培訓(xùn)等信息一直到畢業(yè)后一年還會收到,，但之后就沒有了,。

　　面對如此精準(zhǔn)的“推銷”，大部分人都搞不清自己的信息是如何泄露的,。

　　追訪 上萬學(xué)生學(xué)分可查
　　法晚記者在補(bǔ)天漏洞平臺看到一名“白帽子”(識別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,，但并不會惡意去利用，而是公布其漏洞的人)于10月24日提交的報(bào)告顯示,，北京師范大學(xué)的系統(tǒng)中存在一種漏洞,，只要隨便找到一個學(xué)號，就可以查詢上萬名學(xué)生和教職工的信息,。

　　補(bǔ)天漏洞響應(yīng)平臺專家向《法制晚報(bào)》記者演示,，通過該漏洞，黑客可以查詢到該校上萬名師生的姓名,、學(xué)號,、院系、曾用名,、電話,、身份信息、各學(xué)科學(xué)分,、郵箱 等,，甚至2006年入學(xué)的學(xué)生信息也可被“挖出”。將這些信息分類整理,，就是一份“精準(zhǔn)的客戶名單”,。比如，藝術(shù)與傳媒學(xué)院舞蹈專業(yè)在職研究生王某的信息 當(dāng)中,，可以查到她2014年到2015年春季學(xué)期編舞技法,、舞蹈藝術(shù)結(jié)構(gòu)等的各個學(xué)科的分?jǐn)?shù)。

　　此外專家發(fā)現(xiàn),，通過漏洞，“黑客”還有可能掌握學(xué)校的信息平臺,，直接使用學(xué)校的短信平臺向特定師生或工作人員發(fā)送短信,。
　　補(bǔ)天漏洞平臺的安全專家告訴記者，該校的這個漏洞比較低級,，黑客不僅可以查看師生的個人信息并將數(shù)據(jù)庫信息全部“偷走”,，留給“黑客”產(chǎn)業(yè)使用。甚至可以越權(quán)為某一名學(xué)生錄入或修改成績,。

　　所以,，小呂和同學(xué)們收到的修改成績的短信并非“空穴來風(fēng)”,。

　　說法：密碼太“低級” 平臺不專業(yè)
　　出現(xiàn)漏洞的學(xué)校多，而漏洞也是五花八門,。對于安全專家來說,，有些漏洞低級得“可笑”。

　　記者看到,，一所學(xué)校的網(wǎng)站管理員直接將密碼設(shè)置為12356這樣幾乎連續(xù)的數(shù)字,，對于黑客來說，破解這個密碼太簡單了,。

　　對此,，安全專家林偉表示，密碼設(shè)置簡單是安全意識不強(qiáng),，而造成這一情況的原因是多方面的,。

　　他告訴記者，通常情況下高校除了有官網(wǎng)以外,，還有院系網(wǎng)站,，甚至還有各職能部門網(wǎng)站。但很多網(wǎng)站并不都是由安全工程師搭建的,。一些有相關(guān)專業(yè)的院校,，甚至是 學(xué)生直接參與搭建的。他們的運(yùn)營經(jīng)驗(yàn)不足,，導(dǎo)致對安全風(fēng)險(xiǎn)的預(yù)見性不足,，容易在設(shè)計(jì)上出現(xiàn)紕漏。而一些有網(wǎng)絡(luò)安全相關(guān)專業(yè)的院校,，雖然也可能由學(xué)生參與搭 建,，但由于技術(shù)能力強(qiáng)，漏洞就非常少了,。

　　還有些學(xué)校的網(wǎng)站安全人員流動快,，往往過了幾年之后，新來的管理者根本不知道搭建者是誰,，很多搭建信息和漏洞信息也就無從得知,。

　　進(jìn)展 教育部進(jìn)駐補(bǔ)天平臺縮短修復(fù)周期
　　法晚記者了解到，教育部高度重視高校信息安全工作,，教育部在年初就提出直屬高校的信息技術(shù)安全指導(dǎo)意見,，并與公安部聯(lián)合部署系統(tǒng)安全等級保護(hù)工作，建立部署單位網(wǎng)絡(luò)安全通報(bào)機(jī)制,。

　　事實(shí)上,，很多“白帽子”在發(fā)現(xiàn)漏洞后，是無法與教育部直接溝通的,。為此,，他們會將漏洞信息提供到補(bǔ)天漏洞相應(yīng)平臺,、中國漏洞庫等平臺，再由平臺和教育主管部 門或高校聯(lián)系,。近日,，教育部在“補(bǔ)天”注冊，白帽子提交漏洞信息后,，平臺可以第一時間向教育部通報(bào),。因此，漏洞從被發(fā)現(xiàn),、到審核,、提交的時間被大大縮短 了。

　　“高校網(wǎng)站修復(fù)時間從幾周甚至幾個月,，縮短到1到3天,，有的漏洞做到了當(dāng)天發(fā)現(xiàn)當(dāng)天修復(fù)�,！毖a(bǔ)天漏洞平臺負(fù)責(zé)人介紹,。

　　在他看來，教育部在“補(bǔ)天”注冊后,，起到了帶頭作用,，幾十所高校也扎堆來注冊，某高校24日被發(fā)現(xiàn)漏洞,，補(bǔ)天平臺及時推送,，當(dāng)天就被確認(rèn)，第二天被修復(fù),，最大限度地避免了信息泄露,。（法制晚報(bào)）