如今校園一卡通和校園網在高校已經比較普遍，師生吃飯、選課、查成績、申請助學金等都可以在學校的網站上辦理。因此，高校網站掌握大量學生個人信息。

但《法制晚報》記者近日從中國最大的網站漏洞響應平臺補天漏洞響應平臺發現，數百所高校存在漏洞，這些本應安全的信息存在著被泄露的風險。

近日，教育部在該平臺注冊，希望借助民間“白帽子”黑客的力量查找漏洞，避免信息泄露。

事件學生遭遇“精準推銷”疑信息被泄露

剛上大四的學生小呂，最近時常能收到一些培訓學校考研(課程)課程的推銷短信。垃圾短信并不奇怪，但小呂納悶的是，個別學校清楚地知道他正在上大四并了解他在哪個專業學習，甚至清楚地知道他的英語(精品課)成績較弱。“我以前是報過英語班，會不會是在那里泄露的?”小呂感到很奇怪。

小呂的同學收到的一條短信，讓他對信息泄露源產生了懷疑。

小呂告訴記者，這名同學在前三年曾“掛科”，大四要面臨清考。這名同學收到的短信稱，對方是一名“黑客”，可以進入學校的教務系統修改成績，所以只要花錢，就不用擔心掛科。同樣的短信，不存在“掛科”問題的小呂和其他同學都沒有收到。

由此，小呂覺得肯定有人“黑”進了教務系統，看到了這些“需求”才發送的短信。小呂告訴記者，他們并不相信黑客改成績就能讓他們順利畢業，但卻讓他們懷疑，自己的個人信息有可能是被“黑”出來的。

記者隨機詢問了20余名在校大學生，幾乎所有同學都表示從大一開始就遇到過針對四六級(精品課)考試、考研、商品銷售等方面的垃圾短信。一些畢業生則表示，考研培訓等信息一直到畢業后一年還會收到，但之后就沒有了。

面對如此精準的“推銷”，大部分人都搞不清自己的信息是如何泄露的。

追訪上萬學生學分可查

法晚記者在補天漏洞平臺看到一名“白帽子”(識別計算機系統或網絡系統中的安全漏洞，但并不會惡意去利用，而是公布其漏洞的人)于10月24日提交的報告顯示，北京師范大學的系統中存在一種漏洞，只要隨便找到一個學號，就可以查詢上萬名學生和教職工的信息。

補天漏洞響應平臺專家向《法制晚報》記者演示，通過該漏洞，黑客可以查詢到該校上萬名師生的姓名、學號、院系、曾用名、電話、身份信息、各學科學分、郵箱等，甚至2006年入學的學生信息也可被“挖出”。將這些信息分類整理，就是一份“精準的客戶名單”。比如，藝術與傳媒學院舞蹈專業在職研究生王某的信息當中，可以查到她2014年到2015年春季學期編舞技法、舞蹈藝術結構等的各個學科的分數。

此外專家發現，通過漏洞，“黑客”還有可能掌握學校的信息平臺，直接使用學校的短信平臺向特定師生或工作人員發送短信。

補天漏洞平臺的安全專家告訴記者，該校的這個漏洞比較低級，黑客不僅可以查看師生的個人信息并將數據庫信息全部“偷走”，留給“黑客”產業使用。甚至可以越權為某一名學生錄入或修改成績。

所以，小呂和同學們收到的修改成績的短信并非“空穴來風”。

說法：密碼太“低級”平臺不專業

出現漏洞的學校多，而漏洞也是五花八門。對于安全專家來說，有些漏洞低級得“可笑”。

記者看到，一所學校的網站管理員直接將密碼設置為12356這樣幾乎連續的數字，對于黑客來說，破解這個密碼太簡單了。

對此，安全專家林偉表示，密碼設置簡單是安全意識不強，而造成這一情況的原因是多方面的。

他告訴記者，通常情況下高校除了有官網以外，還有院系網站，甚至還有各職能部門網站。但很多網站并不都是由安全工程師搭建的。一些有相關專業的院校，甚至是學生直接參與搭建的。他們的運營經驗不足，導致對安全風險的預見性不足，容易在設計上出現紕漏。而一些有網絡安全相關專業的院校，雖然也可能由學生參與搭建，但由于技術能力強，漏洞就非常少了。

還有些學校的網站安全人員流動快，往往過了幾年之后，新來的管理者根本不知道搭建者是誰，很多搭建信息和漏洞信息也就無從得知。

進展教育部進駐補天平臺縮短修復周期

法晚記者了解到，教育部高度重視高校信息安全工作，教育部在年初就提出直屬高校的信息技術安全指導意見，并與公安部聯合部署系統安全等級保護工作，建立部署單位網絡安全通報機制。

事實上，很多“白帽子”在發現漏洞后，是無法與教育部直接溝通的。為此，他們會將漏洞信息提供到補天漏洞相應平臺、中國漏洞庫等平臺，再由平臺和教育主管部門或高校聯系。近日，教育部在“補天”注冊，白帽子提交漏洞信息后，平臺可以第一時間向教育部通報。因此，漏洞從被發現、到審核、提交的時間被大大縮短了。

“高校網站修復時間從幾周甚至幾個月，縮短到1到3天，有的漏洞做到了當天發現當天修復。”補天漏洞平臺負責人介紹。

在他看來，教育部在“補天”注冊后，起到了帶頭作用，幾十所高校也扎堆來注冊，某高校24日被發現漏洞，補天平臺及時推送，當天就被確認，第二天被修復，最大限度地避免了信息泄露。