數(shù)百所高校網站存漏洞 黑客稱可修改學生成績

韶華舞流年

2014年—2015年高校網站漏洞統(tǒng)計

　　如今校園一卡通和校園網在高校已經比較普遍,，師生吃飯,、選課、查成績,、申請助學金等都可以在學校的網站上辦理,。因此，高校網站掌握大量學生個人信息,。

　　但《法制晚報》記者近日從中國最大的網站漏洞響應平臺補天漏洞響應平臺發(fā)現(xiàn),，數(shù)百所高校存在漏洞，這些本應安全的信息存在著被泄露的風險,。
　　近日,，教育部在該平臺注冊，希望借助民間“白帽子”黑客的力量查找漏洞,，避免信息泄露,。

　　事件 學生遭遇“精準推銷”疑信息被泄露
　　剛上大四的學生小呂，最近時常能收到一些培訓學�,？佳姓n程的推銷短信,。垃圾短信并不奇怪，但小呂納悶的是,，個別學校清楚地知道他正在上大四并了解他在哪個專業(yè)學習,，甚至清楚地知道他的英語成績較弱�,！拔乙郧笆菆筮^英語班,，會不會是在那里泄露的?”小呂感到很奇怪,。

　　小呂的同學收到的一條短信，讓他對信息泄露源產生了懷疑,。
　　小呂告訴記者,，這名同學在前三年曾“掛科”，大四要面臨清考,。這名同學收到的短信稱,，對方是一名“黑客”，可以進入學校的教務系統(tǒng)修改成績,，所以只要花錢,，就不用擔心掛科。同樣的短信,，不存在“掛科”問題的小呂和其他同學都沒有收到,。

　　由此，小呂覺得肯定有人“黑”進了教務系統(tǒng),，看到了這些“需求”才發(fā)送的短信,。小呂告訴記者，他們并不相信黑客改成績就能讓他們順利畢業(yè),，但卻讓他們懷疑,，自己的個人信息有可能是被“黑”出來的。

　　記者隨機詢問了20余名在校大學生,，幾乎所有同學都表示從大一開始就遇到過針對四六級考試,、考研、商品銷售等方面的垃圾短信,。一些畢業(yè)生則表示,，考研培訓等信息一直到畢業(yè)后一年還會收到，但之后就沒有了,。

　　面對如此精準的“推銷”,，大部分人都搞不清自己的信息是如何泄露的。

　　追訪 上萬學生學分可查
　　法晚記者在補天漏洞平臺看到一名“白帽子”(識別計算機系統(tǒng)或網絡系統(tǒng)中的安全漏洞,，但并不會惡意去利用,，而是公布其漏洞的人)于10月24日提交的報告顯示,，北京師范大學的系統(tǒng)中存在一種漏洞,，只要隨便找到一個學號，就可以查詢上萬名學生和教職工的信息,。

　　補天漏洞響應平臺專家向《法制晚報》記者演示,，通過該漏洞，黑客可以查詢到該校上萬名師生的姓名,、學號,、院系,、曾用名、電話,、身份信息,、各學科學分、郵箱 等,，甚至2006年入學的學生信息也可被“挖出”,。將這些信息分類整理，就是一份“精準的客戶名單”,。比如,，藝術與傳媒學院舞蹈專業(yè)在職研究生王某的信息 當中，可以查到她2014年到2015年春季學期編舞技法,、舞蹈藝術結構等的各個學科的分數(shù),。

　　此外專家發(fā)現(xiàn)，通過漏洞,，“黑客”還有可能掌握學校的信息平臺,，直接使用學校的短信平臺向特定師生或工作人員發(fā)送短信。
　　補天漏洞平臺的安全專家告訴記者,，該校的這個漏洞比較低級,，黑客不僅可以查看師生的個人信息并將數(shù)據(jù)庫信息全部“偷走”，留給“黑客”產業(yè)使用,。甚至可以越權為某一名學生錄入或修改成績,。

　　所以，小呂和同學們收到的修改成績的短信并非“空穴來風”,。

　　說法：密碼太“低級” 平臺不專業(yè)
　　出現(xiàn)漏洞的學校多,，而漏洞也是五花八門。對于安全專家來說,，有些漏洞低級得“可笑”,。

　　記者看到，一所學校的網站管理員直接將密碼設置為12356這樣幾乎連續(xù)的數(shù)字,，對于黑客來說,，破解這個密碼太簡單了。

　　對此,，安全專家林偉表示,，密碼設置簡單是安全意識不強，而造成這一情況的原因是多方面的,。

　　他告訴記者,，通常情況下高校除了有官網以外，還有院系網站,，甚至還有各職能部門網站,。但很多網站并不都是由安全工程師搭建的,。一些有相關專業(yè)的院校，甚至是 學生直接參與搭建的,。他們的運營經驗不足,，導致對安全風險的預見性不足，容易在設計上出現(xiàn)紕漏,。而一些有網絡安全相關專業(yè)的院校,，雖然也可能由學生參與搭 建，但由于技術能力強,，漏洞就非常少了,。

　　還有些學校的網站安全人員流動快，往往過了幾年之后,，新來的管理者根本不知道搭建者是誰,，很多搭建信息和漏洞信息也就無從得知。

　　進展 教育部進駐補天平臺縮短修復周期
　　法晚記者了解到,，教育部高度重視高校信息安全工作,，教育部在年初就提出直屬高校的信息技術安全指導意見，并與公安部聯(lián)合部署系統(tǒng)安全等級保護工作,，建立部署單位網絡安全通報機制,。

　　事實上，很多“白帽子”在發(fā)現(xiàn)漏洞后,，是無法與教育部直接溝通的,。為此，他們會將漏洞信息提供到補天漏洞相應平臺,、中國漏洞庫等平臺,，再由平臺和教育主管部 門或高校聯(lián)系。近日,，教育部在“補天”注冊,，白帽子提交漏洞信息后，平臺可以第一時間向教育部通報,。因此,，漏洞從被發(fā)現(xiàn)、到審核,、提交的時間被大大縮短 了,。

　　“高校網站修復時間從幾周甚至幾個月，縮短到1到3天,，有的漏洞做到了當天發(fā)現(xiàn)當天修復,。”補天漏洞平臺負責人介紹,。

　　在他看來,，教育部在“補天”注冊后，起到了帶頭作用,，幾十所高校也扎堆來注冊,，某高校24日被發(fā)現(xiàn)漏洞，補天平臺及時推送,，當天就被確認,，第二天被修復，最大限度地避免了信息泄露,。（法制晚報）