原標題:臨沂女孩被騙離世背后:大中小學(xué)數(shù)據(jù)倒賣現(xiàn)象嚴重
8月19日����,剛剛被南京郵電大學(xué)錄取的山東臨沂女孩徐玉玉遭遇電信詐騙,9900元學(xué)費被騙走���。導(dǎo)致徐玉玉被騙的直接原因�,系其聯(lián)系方式以及領(lǐng)取教育助學(xué)金的信息被泄露��。
根據(jù)《沂蒙晚報》報道,8月18日�,被騙前一天,徐玉玉接到了來自真實教育部門的助學(xué)金電話通知��。詐騙嫌疑人則以“領(lǐng)取助學(xué)金”為由���,輕易博取了徐玉玉的信任�����,并騙取了全家省吃儉用大半年節(jié)省下來的9900元學(xué)費����。
19日晚���,徐玉玉及其家人前往派出所報案���,在回家的路上,徐玉玉突然暈厥��,雖經(jīng)醫(yī)院歷經(jīng)兩日的全力搶救����,但仍沒能挽回她18歲的生命�。該事件已經(jīng)引起廣泛關(guān)注����。截至目前����,微信公眾平臺上討論此事的文章約4400篇,人民網(wǎng)微博客戶端相關(guān)微博下�����,已經(jīng)有超過2萬條評論���。
23日晚���,臨沂公安微博發(fā)布“開學(xué)在即 謹防以助學(xué)金為名的詐騙方式”的警示內(nèi)容,同時�����,臨沂警方成立專案組調(diào)查此案件��。
需要警惕的是,根據(jù)教育部公布信息����,國家助學(xué)金覆蓋了全國20%的本專科生����。根據(jù)國家統(tǒng)計局信息,2015年�,全國普通本專科招生737.8萬人����,在校生2625.3萬人,按此比例計算��,今年剛剛?cè)雽W(xué)��、領(lǐng)取助學(xué)金的大一新生約150萬人���,而在校領(lǐng)取助學(xué)金的大學(xué)生約500萬人����。他們�����,都有可能因為助學(xué)金信息泄露面臨詐騙風(fēng)險。
目前��,并不清楚助學(xué)金信息的泄露原因�����。南京郵電大學(xué)已經(jīng)與警方聯(lián)系���,并稱“未聯(lián)系過發(fā)放助學(xué)金事宜”。知情人士介紹��,“助學(xué)金從申請到發(fā)放存在多個環(huán)節(jié)����,每個環(huán)節(jié)都可能泄露信息�����!备鶕(jù)要求����,助學(xué)金申請信息包含姓名、身份證信息、聯(lián)系方式�、住址等26項內(nèi)容。
倒賣學(xué)生數(shù)據(jù)成風(fēng)
由于普遍不具備經(jīng)濟能力����,且資金不充裕,學(xué)生群體并非電信詐騙的重災(zāi)區(qū)���。但這并非意味著學(xué)生群體安全系數(shù)高���。事實上,在記者接觸的多類群體中�,學(xué)生信息堪稱“最沒有安全保障”的一類。
近日����,記者接觸到數(shù)個倒賣用戶數(shù)據(jù)的業(yè)內(nèi)人士,其中3人告訴記者:“只要你聽說過的學(xué)校��,不論大學(xué)��、中學(xué)����、小學(xué)����,(它們的數(shù)據(jù))都有�������!
其中一位人士向記者展示的上海某知名大學(xué)數(shù)據(jù)����,包含了學(xué)生姓名、學(xué)號���、性別、年齡�����、身高�����、體重����、聯(lián)系方式����、專業(yè)等詳盡信息�。此外,該人士表示可以拿到“全國中小學(xué)生學(xué)籍信息管理系統(tǒng)”���,包括學(xué)籍號�����、學(xué)校�����、入學(xué)方式�����、住址�、家庭成員等等�����。該人士表示, “國內(nèi)學(xué)校����,有一半數(shù)據(jù)我都有。即使手頭沒有的�,只要你告訴我名字,我也都能拿到����!
全國中小學(xué)生學(xué)籍信息管理系統(tǒng)�����,是由教育部在2012年開始實施上線的系統(tǒng)���,旨在對全國范圍內(nèi)的學(xué)生注冊�����、學(xué)生信息維護、畢業(yè)升級���、學(xué)籍異動實施信息化管理����,全國超過1.4億名中小學(xué)信息存儲在該系統(tǒng)上。
根據(jù)多位人士報價���,“新鮮出爐”�、“沒有賣過”的一手學(xué)生數(shù)據(jù)�����,售價約1-2元/條�,大量采購還有優(yōu)惠。而二手的數(shù)據(jù)��,基本低于1毛����,如果批量購買,1萬條二手數(shù)據(jù)約300-500元�����。在整個數(shù)據(jù)黑色產(chǎn)業(yè)領(lǐng)域���,學(xué)生數(shù)據(jù)售價偏低���,相比之下����,一些從淘寶�����、京東�、唯品會等電商平臺流出的一手數(shù)據(jù),售價在3-5元以上����,高峰期售價一度達到20-30元/條。除此之外����,在數(shù)據(jù)黑產(chǎn)中,電商����、銀行�、股市、車輛交易等數(shù)據(jù)應(yīng)有盡有��。在上述業(yè)內(nèi)人士看來, “買數(shù)據(jù)的����,都是拿來騙人的,學(xué)生基本騙不到錢����,數(shù)據(jù)賣不上價,鄉(xiāng)鎮(zhèn)之類學(xué)校的數(shù)據(jù)都賣不出去�����!
10年前��,學(xué)生數(shù)據(jù)要比現(xiàn)在值錢���。一位北京某學(xué)校教師告訴記者:“倒賣生源數(shù)據(jù)的漏洞長期存在。很多民辦大學(xué)會借合法專業(yè)的名義搞非法成教���、網(wǎng)教來招生����。每年高考之后,他們就從各省買考生數(shù)據(jù)�,當(dāng)時一個省考生數(shù)據(jù)售價幾十萬元。每年賣出十多萬的名單����。”
對于開設(shè)成教�����、網(wǎng)教教育的學(xué)校而言��,“高分學(xué)生數(shù)據(jù)不值錢����,都是白送,分數(shù)低的才值錢�。拿到數(shù)據(jù)之后,學(xué)校安排話務(wù)組開始打電話��,幾天就能招50-60人��������!痹摻處煾嬖V記者:“有的學(xué)校每年因此盈利上億元�,2006年左右��,吃這碗飯的人粗略估計有20多萬����。”
“學(xué)校���、教師��、教育局�����、招生辦�����,能拿到學(xué)生數(shù)據(jù)的部門太多了�,很多人都可能成為泄露數(shù)據(jù)的源頭����。不光賣學(xué)生數(shù)據(jù),學(xué)校教師的數(shù)據(jù)也都被賣出去了,老師天天都接好多推銷電話”�,該人士回憶稱:“2008年之后,主管部門發(fā)文明確倒賣生源數(shù)據(jù)是違法行為�,但也沒有控制住。后來�����,因為生源減少�,公立專業(yè)都招不滿,民辦的招不到生源���,這個生意才淡下來����!
幾分鐘攻破學(xué)校漏洞
行業(yè)內(nèi)市場衰落���,行業(yè)外的電信詐騙、廣告推銷市場則開始興起��,而大量的學(xué)生數(shù)據(jù)流入黑色產(chǎn)業(yè)�����。
“數(shù)據(jù)流入黑產(chǎn)的途徑有三種,”數(shù)據(jù)庫安全企業(yè)安華金和的安全專家告訴記者�,“一種是接觸到數(shù)據(jù)的工作人員泄露數(shù)據(jù),一種是黑客入侵目標獲取數(shù)據(jù)�����,還有一種是第三方IT系統(tǒng)服務(wù)公司在提供服務(wù)時獲取數(shù)據(jù)并泄露���!
一位教育信息化資深人士告訴記者:“學(xué)生數(shù)據(jù)存放在很多地方���,學(xué)校����、招生辦����、教育機構(gòu)等等。目前中小學(xué)數(shù)據(jù)教育部會提供統(tǒng)一平臺���,但大學(xué)數(shù)據(jù)�,則存儲在各個大學(xué)自己手中������!睌(shù)據(jù)存儲渠道的多樣����,增加了接觸數(shù)據(jù)人員的數(shù)量���,也無限放大了內(nèi)部人員泄密的風(fēng)險�����。
另一方面�,多位來自信息安全領(lǐng)域的權(quán)威人士告訴21世紀經(jīng)濟報道記者:“教育行業(yè)的信息安全能力普遍極低�������!痹360旗下補天漏洞平臺上����,最近兩年內(nèi)提交的相關(guān)教育機構(gòu)的漏洞超過1100條,“實際上遠比這多����,主要是教育機構(gòu)漏洞太多�����,白帽子都懶得去測試���,因為沒有成就感。隨便一個入門的黑客����,都能搞定絕大多數(shù)學(xué)校系統(tǒng)�,幾乎不耗時間,甚至只需要敲幾下回車就可以������!
一位信息安全資深人士對某部委直屬大學(xué)做了測試,僅用幾分鐘即發(fā)現(xiàn)了該大學(xué)的漏洞��,目前該大學(xué)已經(jīng)修復(fù)該漏洞��。需要指出����,根據(jù)補天漏洞平臺信息����,該平臺上最近兩年內(nèi)提交的清華大學(xué)��、北京大學(xué)也均在50個左右����。此外,近年來��,因為“套號學(xué)歷”�����、“學(xué)歷造假”等事件�����,教育部指定的學(xué)歷查詢唯一網(wǎng)站學(xué)信網(wǎng)被屢次質(zhì)疑�,不過,教育部多次回應(yīng)中強調(diào)“學(xué)信網(wǎng)安全”�����、“沒有漏洞”。
2014年�、2015年,教育部與公安部先后聯(lián)合印發(fā)《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》�、《教育部 公安部關(guān)于全面推進教育行業(yè)信息安全等級保護工作的通知》,在全國開展信息系統(tǒng)安全等級定級備案工作�。兩份通知中,學(xué)生的學(xué)籍�����、學(xué)位等信息管理系統(tǒng)大多列入第三級等級保護����。教育行業(yè)最高安全保護等級為第三級��。
根據(jù)相關(guān)要求�����,私密級�、絕密級、機密級信息系統(tǒng)的安全防護水平分別不低于第三級�、第四級、第五級���。根據(jù)人民銀行發(fā)布文件���,銀行部分系統(tǒng)最高防護等級為第四級�。
前述教育信息化行業(yè)人士告訴記者: “從這兩年分析的結(jié)果來看����,信息安全,是一個全社會都漠視的問題���,需要所有企業(yè)��、機構(gòu)去提高重視程度��,靠公民提高安全意識�����,根本沒用��������!
關(guān)注樓主