作者:范博韬 陈涵 来源:法制晚报 发布时间:2015/11/7 15:46:27
选择字号:
各大高校网站现千余漏洞 教育部进补丁平台

▲上述漏洞涉及清华大学、浙江大学、同济大学、厦门大学这样的名校,也包括了一些职业教育学院,几乎所有类型的高校都“中招”。制图/肖霄

法制晚报讯(记者 范博韬 新闻观察员 陈涵) 如今校园一卡通和校园网在高校已经比较普遍,师生吃饭、选课、查成绩、申请助学金等都可以在学校的网站上办理。因此,高校网站掌握大量学生个人信息。

但《法制晚报》记者近日从中国最大的网站漏洞响应平台补天漏洞响应平台发现,数百所高校存在漏洞,这些本应安全的信息存在着被泄露的风险。

近日,教育部在该平台注册,希望借助民间“白帽子”黑客的力量查找漏洞,避免信息泄露。

事件 学生遭遇“精准推销” 疑信息被泄露

刚上大四的学生小吕,最近时常能收到一些培训学校考研课程的推销短信。垃圾短信并不奇怪,但小吕纳闷的是,个别学校清楚地知道他正在上大四并了解他在哪个专业学习,甚至清楚地知道他的英语成绩较弱。“我以前是报过英语班,会不会是在那里泄露的?”小吕感到很奇怪。

小吕的同学收到的一条短信,让他对信息泄露源产生了怀疑。

小吕告诉记者,这名同学在前三年曾“挂科”,大四要面临清考。这名同学收到的短信称,对方是一名“黑客”,可以进入学校的教务系统修改成绩,所以只要花钱,就不用担心挂科。同样的短信,不存在“挂科”问题的小吕和其他同学都没有收到。

由此,小吕觉得肯定有人“黑”进了教务系统,看到了这些“需求”才发送的短信。小吕告诉记者,他们并不相信黑客改成绩就能让他们顺利毕业,但却让他们怀疑,自己的个人信息有可能是被“黑”出来的。

记者随机询问了20余名在校大学生,几乎所有同学都表示从大一开始就遇到过针对四六级考试、考研、商品销售等方面的垃圾短信。一些毕业生则表示,考研培训等信息一直到毕业后一年还会收到,但之后就没有了。

面对如此精准的“推销”,大部分人都搞不清自己的信息是如何泄露的。

追访 上万学生学分可查

法晚记者在补天漏洞平台看到一名“白帽子”(识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞的人)于10月24日提交的报告显示,北京师范大学的系统中存在一种漏洞,只要随便找到一个学号,就可以查询上万名学生和教职工的信息。

补天漏洞响应平台专家向《法制晚报》记者演示,通过该漏洞,黑客可以查询到该校上万名师生的姓名、学号、院系、曾用名、电话、身份信息、各学科学分、邮箱等,甚至2006年入学的学生信息也可被“挖出”。将这些信息分类整理,就是一份“精准的客户名单”。比如,艺术与传媒学院舞蹈专业在职研究生王某的信息当中,可以查到她2014年到2015年春季学期编舞技法、舞蹈艺术结构等的各个学科的分数。

此外专家发现,通过漏洞,“黑客”还有可能掌握学校的信息平台,直接使用学校的短信平台向特定师生或工作人员发送短信。

补天漏洞平台的安全专家告诉记者,该校的这个漏洞比较低级,黑客不仅可以查看师生的个人信息并将数据库信息全部“偷走”,留给“黑客”产业使用。甚至可以越权为某一名学生录入或修改成绩。

所以,小吕和同学们收到的修改成绩的短信并非“空穴来风”。

说法 密码太“低级” 平台不专业

出现漏洞的学校多,而漏洞也是五花八门。对于安全专家来说,有些漏洞低级得“可笑”。

记者看到,一所学校的网站管理员直接将密码设置为12356这样几乎连续的数字,对于黑客来说,破解这个密码太简单了。

对此,360攻防实验室负责人林伟表示,密码设置简单是安全意识不强,而造成这一情况的原因是多方面的。

他告诉记者,通常情况下高校除了有官网以外,还有院系网站,甚至还有各职能部门网站。但很多网站并不都是由安全工程师搭建的。一些有相关专业的院校,甚至是学生直接参与搭建的。他们的运营经验不足,导致对安全风险的预见性不足,容易在设计上出现纰漏。而一些有网络安全相关专业的院校,虽然也可能由学生参与搭建,但由于技术能力强,漏洞就非常少了。

还有些学校的网站安全人员流动快,往往过了几年之后,新来的管理者根本不知道搭建者是谁,很多搭建信息和漏洞信息也就无从得知。

进展 教育部进驻补丁平台 缩短修复周期

法晚记者了解到,教育部高度重视高校信息安全工作,教育部在年初就提出直属高校的信息技术安全指导意见,并与公安部联合部署系统安全等级保护工作,建立部署单位网络安全通报机制。

事实上,很多“白帽子”在发现漏洞后,是无法与教育部直接沟通的。为此,他们会将漏洞信息提供到补天漏洞相应平台、中国漏洞库等平台,再由平台和教育主管部门或高校联系。近日,教育部在“补天”注册,白帽子提交漏洞信息后,平台可以第一时间向教育部通报。因此,漏洞从被发现、到审核、提交的时间被大大缩短了。

“高校网站修复时间从几周甚至几个月,缩短到1到3天,有的漏洞做到了当天发现当天修复。”补天漏洞平台负责人介绍。

在他看来,教育部在“补天”注册后,起到了带头作用,几十所高校也扎堆来注册,某高校24日被发现漏洞,补天平台及时推送,当天就被确认,第二天被修复,最大限度地避免了信息泄露。

文/记者 范博韬 新闻观察员 陈涵(原标题:一个学号能查上万师生信息 教育部已入驻安全平台堵漏 补天平台数据显示——高校网站漏洞 一年现2868个 )

特别声明:本文转载仅仅是出于传播信息的需要,并不意味着代表本网站观点或证实其内容的真实性;如其他媒体、网站或个人从本网站转载使用,须保留本网站注明的“来源”,并自负版权等法律责任;作者如果不希望被转载或者联系转载稿费等事宜,请与我们接洽。
打印 发E-mail给:
以下评论只代表网友个人观点,不代表科学网观点。
���� SSI �ļ�ʱ����
相关新闻 相关论文
图片新闻
研究生迷茫常见原因及应对之策 肉眼可见!JUICE将飞越地球和月球
航迹云带来更多气候变暖 韦布观测到巨行星
>>更多
一周新闻排行 一周新闻评论排行
编辑部推荐博文
论坛推荐

Baidu
map