精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

誰泄露了徐玉玉們的個(gè)人信息？教育機(jī)構(gòu)網(wǎng)站系統(tǒng)安全堪憂

誰是“殺死”徐玉玉的“兇手”？

18歲的生命代價(jià)換來了全國上下對(duì)信息詐騙的關(guān)注熱潮，但當(dāng)大家慶幸于參與詐騙的幾名犯罪嫌疑人很快落網(wǎng)的時(shí)候，卻很少有人追究，究竟是誰泄露了徐玉玉的信息，詐騙分子精準(zhǔn)的信息從何而來？顯然，當(dāng)?shù)亟逃龣C(jī)構(gòu)難辭其咎。

徐玉玉并非孤例。8月底以來，大學(xué)生和準(zhǔn)大學(xué)生被網(wǎng)絡(luò)通信詐騙成了高頻事件，多起類似案件導(dǎo)致受害人猝死事件被曝光，這些悲劇是否能喚醒信息泄露源頭對(duì)自身信息安全缺陷的反省和彌補(bǔ)呢？

在兩周的時(shí)間里，《IT時(shí)報(bào)》記者與數(shù)十個(gè)白帽子進(jìn)行了溝通，并隨機(jī)選擇了北京和山東兩所高中的官方網(wǎng)站，請(qǐng)專業(yè)的安全人士進(jìn)行評(píng)測(cè)，結(jié)果并不樂觀，其中一所高中的官網(wǎng)被檢測(cè)出已經(jīng)發(fā)生過信息泄露，而另一所高中的官網(wǎng)甚至已經(jīng)被掛上了黑鏈。

更令人揪心的是，業(yè)內(nèi)知名的“白帽子”網(wǎng)站烏云暫停服務(wù)之后，“白帽子”的身份變得十分尷尬，在漏洞面前開始選擇沉默。當(dāng)黑客成為網(wǎng)絡(luò)安全領(lǐng)域的唯一玩家時(shí)，誰來保護(hù)我們的信息安全？

兩所高中官網(wǎng)安全實(shí)測(cè)：都已被攻擊過

徐玉玉事件中，女孩被騙的關(guān)鍵因素之一，是對(duì)方聲稱將為她發(fā)放助學(xué)金，這句話輕易獲取了徐玉玉的信賴，此前一天，她剛好收到了關(guān)于助學(xué)金的相關(guān)通知。個(gè)人信息的泄露直接導(dǎo)致了最終詐騙的成功。

助學(xué)金的信息應(yīng)該來自教育機(jī)構(gòu)，而教育機(jī)構(gòu)信息安全防范水平低在業(yè)內(nèi)并不是秘密。

一位今年剛畢業(yè)的“白帽子”休明（化名）告訴記者，學(xué)校網(wǎng)站的安全防御一直都很弱，出現(xiàn)徐玉玉這樣的事件，他一點(diǎn)都不覺得意外。3年前，休明因?yàn)楹闷婧秃猛妫?ldquo;潛”入了自己就讀的學(xué)校系統(tǒng)，他發(fā)現(xiàn)，要逃過學(xué)校的安全防控體系輕而易舉，“我最快的紀(jì)錄是3分鐘潛入系統(tǒng)，有些安全防控幾乎形同虛設(shè)，教務(wù)信息、學(xué)生學(xué)籍信息全都赤裸裸地?cái)[在那里，想要修改自己的學(xué)習(xí)成績是分分鐘的事。”

隨著悲劇不斷曝光，這些曾經(jīng)的薄弱環(huán)節(jié)是否加強(qiáng)了對(duì)信息安全的保護(hù)？記者隨機(jī)選擇了兩所國內(nèi)重點(diǎn)高中，邀請(qǐng)了兩位安全領(lǐng)域?qū)I(yè)人士進(jìn)行簡單的安全測(cè)試。

首先測(cè)試的是北京某附中，根據(jù)其官方介紹，這是一所北京市示范性高級(jí)中學(xué)、教育部直屬重點(diǎn)學(xué)校、北京市首批示范高中，在其官網(wǎng)首頁有一個(gè)名為“數(shù)字校園”的登錄入口，需要提供用戶名和密碼才能登錄。然而，檢測(cè)剛剛開始2分鐘，安全人員便告訴《IT時(shí)報(bào)》記者，這個(gè)網(wǎng)站的系統(tǒng)沒有設(shè)置防火墻，黑客很容易進(jìn)入。

在經(jīng)過專業(yè)軟件2個(gè)小時(shí)的測(cè)試后，檢測(cè)的“白帽子”得到一個(gè)初步結(jié)論：目前來看，網(wǎng)站本身不存在漏洞，但存在信息泄露。從檢測(cè)的數(shù)據(jù)看，網(wǎng)站上有兩個(gè)壓縮包已經(jīng)泄露，同時(shí)泄露的還有主機(jī)源代碼。這在安全人士看來，已經(jīng)屬于較為嚴(yán)重的信息泄露，黑客拿到源代碼后可以更方便尋找漏洞，從而進(jìn)一步獲取相關(guān)有價(jià)值的信息數(shù)據(jù)。

出于職業(yè)規(guī)范考量，檢測(cè)的“白帽子”并沒有打開已經(jīng)泄露的壓縮包及主機(jī)源代碼。因此，壓縮包內(nèi)究竟包含怎樣的信息，暫不得而知。

第二所被測(cè)試的學(xué)校來自徐玉玉的老家——山東某實(shí)驗(yàn)中學(xué)，同樣是山東省內(nèi)屈指可數(shù)的重點(diǎn)高中。從其官網(wǎng)公開信息來看，學(xué)生可在網(wǎng)站上實(shí)現(xiàn)網(wǎng)上選課，教師也可通過賬戶和密碼進(jìn)入網(wǎng)上辦公系統(tǒng)。因此，學(xué)生的選課信息、考試成績等等相關(guān)的個(gè)人信息應(yīng)該都在網(wǎng)站后臺(tái)數(shù)據(jù)庫內(nèi)保留。那么這所學(xué)校的官網(wǎng)安全情況如何呢？

檢測(cè)開始1分鐘后，“白帽子”告訴記者，這家網(wǎng)站已經(jīng)被黑。根據(jù)檢測(cè)結(jié)果來看，網(wǎng)站使用的是iwms系統(tǒng)，這一類系統(tǒng)通常是從第三方購入的現(xiàn)成網(wǎng)站結(jié)構(gòu)，即買即用，技術(shù)難度低，價(jià)格不算昂貴，普遍受到教育機(jī)構(gòu)等官方機(jī)構(gòu)的歡迎，但也容易忽視后期的安全維護(hù)，如果一家網(wǎng)站被攻破，采用類似結(jié)構(gòu)的其他同類網(wǎng)站很有可能都成為黑客攻擊的對(duì)象。

從安全檢測(cè)報(bào)告來看，這家網(wǎng)站的漏洞很多，最關(guān)鍵的是，網(wǎng)站已經(jīng)被人掛上了黑鏈，打開官網(wǎng)地址下的一個(gè)二級(jí)域名，頁面顯示為諸多賭博網(wǎng)站網(wǎng)址的集成網(wǎng)頁。在檢測(cè)的“白帽子”看來，說明網(wǎng)站已經(jīng)被別有用心的人“看中”，處于信息泄露的高危狀態(tài)，一旦掛上黑鏈之后，黑客可以直接借助這個(gè)網(wǎng)站來進(jìn)行導(dǎo)流。

為教育機(jī)構(gòu)找漏洞 吃力不討好

在“白帽子”圈內(nèi)，為教育機(jī)構(gòu)找漏洞是一件吃力不討好的事，漏洞多，且重視程度不高，很多此前上報(bào)的漏洞，最后往往都不了了之。

一位“白帽子”告訴記者，過去兩年里，他自己曾上報(bào)過不下十個(gè)來自各類學(xué)校的安全漏洞，只有一所學(xué)校最終主動(dòng)修補(bǔ)了漏洞。一年前，他曾上報(bào)過新疆某考試院網(wǎng)站存在的高危漏洞，在漏洞描述中他這樣寫道：一旦泄露，將有16萬考生信息流入黑色產(chǎn)業(yè)。但隨著高考的結(jié)束，相關(guān)頁面被關(guān)，這件事最終沒了下文。

他還曾提交了自己就讀的福州某高校圖書館系統(tǒng)存在的“SQL注入”高危漏洞：“提交一個(gè)，讓學(xué)校重視一下，一個(gè)學(xué)校網(wǎng)站的安全，代表一個(gè)學(xué)校信息專業(yè)的水平……”但最終，漏洞還是沒能得到修復(fù)。

這位“白帽子”告訴記者，大部分學(xué)校認(rèn)為后臺(tái)并沒有重要信息，因此對(duì)于信息安全的防控始終都不重視，“有些地區(qū)的學(xué)校會(huì)將學(xué)生，尤其是考生的信息遷移到類似學(xué)信網(wǎng)這樣的專業(yè)考試網(wǎng)站，順便就將自身防御責(zé)任也一同轉(zhuǎn)移了。”

但學(xué)信網(wǎng)的安全系數(shù)就足夠高了嗎？此前烏云平臺(tái)上，也曾出現(xiàn)過學(xué)信網(wǎng)信息泄露的漏洞上報(bào)。這位“白帽子”曾經(jīng)在漏洞上報(bào)一段時(shí)間后再次查看，結(jié)果發(fā)現(xiàn)漏洞依然沒有得到修補(bǔ)，一份加密版的數(shù)據(jù)庫依然在暴露狀態(tài)。

“這個(gè)加密版的防御系數(shù)的確要高于普通學(xué)校的安全級(jí)別，我當(dāng)時(shí)攻破不了，但這并不代表其他人也無法攻破。”這位“白帽子”認(rèn)為，這樣的數(shù)據(jù)信息一旦被破解，流入黑市后，將有巨大的市場(chǎng)價(jià)值以及無法估量的危害。

此前就有媒體曝出，只要在QQ群內(nèi)搜索“考試數(shù)據(jù)”，輕易找到各類“出售考試名單”的賣主，根據(jù)他們的報(bào)價(jià)，去年參加研究生考試的160萬考生信息的報(bào)價(jià)是4000元，而其覆蓋的范圍已經(jīng)涉及“湖南全省”“重慶”“江蘇”等7省市的10萬名考生信息。

教育部、公安部發(fā)布的《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)》、《教育部 公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》兩份通知中，對(duì)教育行業(yè)建議的最高安全保護(hù)等級(jí)為第三級(jí)(級(jí)數(shù)越高要求越高)，但事實(shí)上，目前很少有學(xué)校能達(dá)標(biāo)。盡管在各級(jí)教育機(jī)構(gòu)中，大學(xué)官網(wǎng)的安全系數(shù)普遍略高于高中及職業(yè)學(xué)校，至少都擁有“防火墻”，但與防護(hù)級(jí)別為四級(jí)的銀行防護(hù)系統(tǒng)相比，中間的差距依然不在一個(gè)等級(jí)。

在業(yè)內(nèi)人士看來，徐玉玉事件發(fā)生之前，教育機(jī)構(gòu)、政府機(jī)構(gòu)等官網(wǎng)一直是受攻擊的重災(zāi)區(qū)。除了后續(xù)投入和維護(hù)成本較高等因素之外，相關(guān)管理者意識(shí)的懈怠是主要因素，“一是他們對(duì)相關(guān)技術(shù)不了解，不熟悉其背后可能帶來的影響，其次就是不舍得在這個(gè)看不見的地方投錢。”

記者觀察

“白帽子”在退縮

進(jìn)行調(diào)查的過程中，《IT時(shí)報(bào)》記者有機(jī)會(huì)接觸到數(shù)十位安全領(lǐng)域的白帽子，他們普遍對(duì)于半公益的漏洞查找持謹(jǐn)慎態(tài)度。

這種謹(jǐn)慎源自烏云的停擺。作為國內(nèi)最為知名的漏洞平臺(tái)，烏云網(wǎng)曾經(jīng)是多起知名網(wǎng)站漏洞的首發(fā)披露地，但今年以來，先是有著名 “白帽子”袁煒被捕，而后烏云網(wǎng)包括創(chuàng)始人在內(nèi)的“多名高管被抓”，烏云被迫停擺，接連的事件再次引發(fā)了人們對(duì)于“白帽子”黑客行為邊界的大討論，也讓“白帽子”人人自危。

越來越多的“白帽子”開始向純商業(yè)行為轉(zhuǎn)型。“不上報(bào)了，沒錢，說不定還惹麻煩。”一位剛進(jìn)入安全領(lǐng)域不到兩年的年輕“白帽子”坦言，本來向平臺(tái)上報(bào)漏洞的初衷是遏制黑產(chǎn)蔓延，但現(xiàn)在整個(gè)社會(huì)的大環(huán)境對(duì)于類似的行為都有疑慮，因此行業(yè)中的很多人都不再熱衷于做類似的半公益性質(zhì)的漏洞查找。

有業(yè)內(nèi)人士表示，這樣的趨勢(shì)并不利于類似公共機(jī)構(gòu)安全防御能力的提升，“學(xué)校、政府作為公共機(jī)構(gòu)本身就需要社會(huì)各方的共同監(jiān)督及保護(hù)，在他們自身不具備專業(yè)安全防御能力情況下，社會(huì)防御力量又在撤退，單純依靠其自身安全技術(shù)能力的提升，進(jìn)度會(huì)更緩慢。”

9月8日，記者向兩所被檢測(cè)高中的官方微博發(fā)私信進(jìn)行了提醒。