女孩遭電信詐騙離世 大中小學(xué)數(shù)據(jù)倒賣(mài)現(xiàn)象嚴(yán)重

　　原標(biāo)題：臨沂女孩被騙離世背后：大中小學(xué)數(shù)據(jù)倒賣(mài)現(xiàn)象嚴(yán)重

　　8月19日，剛剛被南京郵電大學(xué)錄取的山東臨沂女孩徐玉玉遭遇電信詐騙，9900元學(xué)費(fèi)被騙走。導(dǎo)致徐玉玉被騙的直接原因，系其聯(lián)系方式以及領(lǐng)取教育助學(xué)金的信息被泄露。

　　根據(jù)《沂蒙晚報(bào)》報(bào)道，8月18日，被騙前一天，徐玉玉接到了來(lái)自真實(shí)教育部門(mén)的助學(xué)金電話通知。詐騙嫌疑人則以“領(lǐng)取助學(xué)金”為由，輕易博取了徐玉玉的信任，并騙取了全家省吃?xún)�用大半年節(jié)省下來(lái)的9900元學(xué)費(fèi)。

　　19日晚，徐玉玉及其家人前往派出所報(bào)案，在回家的路上，徐玉玉突然暈厥，雖經(jīng)醫(yī)院歷經(jīng)兩日的全力搶救，但仍沒(méi)能挽回她18歲的生命。該事件已經(jīng)引起廣泛關(guān)注。截至目前，微信公眾平臺(tái)上討論此事的文章約4400篇， 人民網(wǎng) 微博 客戶(hù)端相關(guān)微博下，已經(jīng)有超過(guò)2萬(wàn)條評(píng)論。

　　23日晚，臨沂公安微博發(fā)布“開(kāi)學(xué)在即 謹(jǐn)防以助學(xué)金為名的詐騙方式”的警示內(nèi)容，同時(shí)，臨沂警方成立專(zhuān)案組調(diào)查此案件。

　　需要警惕的是，根據(jù)教育部公布信息，國(guó)家助學(xué)金覆蓋了全國(guó)20%的本專(zhuān)科生。根據(jù)國(guó)家統(tǒng)計(jì)局信息，2015年，全國(guó)普通本專(zhuān)科招生737.8萬(wàn)人，在校生2625.3萬(wàn)人，按此比例計(jì)算，今年剛剛?cè)雽W(xué)、領(lǐng)取助學(xué)金的大一新生約150萬(wàn)人，而在校領(lǐng)取助學(xué)金的大學(xué)生約500萬(wàn)人。他們，都有可能因?yàn)橹鷮W(xué)金信息泄露面臨詐騙風(fēng)險(xiǎn)。

　　目前，并不清楚助學(xué)金信息的泄露原因。南京郵電大學(xué)已經(jīng)與警方聯(lián)系，并稱(chēng)“未聯(lián)系過(guò)發(fā)放助學(xué)金事宜”。知情人士介紹，“助學(xué)金從申請(qǐng)到發(fā)放存在多個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都可能泄露信息�！备鶕�(jù)要求，助學(xué)金申請(qǐng)信息包含姓名、身份證信息、聯(lián)系方式、住址等26項(xiàng)內(nèi)容。

　　倒賣(mài)學(xué)生數(shù)據(jù)成風(fēng)

　　由于普遍不具備經(jīng)濟(jì)能力，且資金不充裕，學(xué)生群體并非電信詐騙的重災(zāi)區(qū)。但這并非意味著學(xué)生群體安全系數(shù)高。事實(shí)上，在記者接觸的多類(lèi)群體中，學(xué)生信息堪稱(chēng)“最沒(méi)有安全保障”的一類(lèi)。

　　近日，記者接觸到數(shù)個(gè)倒賣(mài)用戶(hù)數(shù)據(jù)的業(yè)內(nèi)人士，其中3人告訴記者：“只要你聽(tīng)說(shuō)過(guò)的學(xué)校，不論大學(xué)、中學(xué)、小學(xué)，（它們的數(shù)據(jù)）都有�！�

　　其中一位人士向記者展示的上海某知名大學(xué)數(shù)據(jù)，包含了學(xué)生姓名、學(xué)號(hào)、性別、年齡、身高、體重、聯(lián)系方式、專(zhuān)業(yè)等詳盡信息。此外，該人士表示可以拿到“全國(guó)中小學(xué)生學(xué)籍信息管理系統(tǒng)”，包括學(xué)籍號(hào)、學(xué)校、入學(xué)方式、住址、家庭成員等等。該人士表示， “國(guó)內(nèi)學(xué)校，有一半數(shù)據(jù)我都有。即使手頭沒(méi)有的，只要你告訴我名字，我也都能拿到�！�

　　全國(guó)中小學(xué)生學(xué)籍信息管理系統(tǒng)，是由教育部在2012年開(kāi)始實(shí)施上線的系統(tǒng)，旨在對(duì)全國(guó)范圍內(nèi)的學(xué)生注冊(cè)、學(xué)生信息維護(hù)、畢業(yè)升級(jí)、學(xué)籍異動(dòng)實(shí)施信息化管理，全國(guó)超過(guò)1.4億名中小學(xué)信息存儲(chǔ)在該系統(tǒng)上。

　　根據(jù)多位人士報(bào)價(jià)，“新鮮出爐”、“沒(méi)有賣(mài)過(guò)”的一手學(xué)生數(shù)據(jù)，售價(jià)約1-2元/條，大量采購(gòu)還有優(yōu)惠。而二手的數(shù)據(jù)，基本低于1毛，如果批量購(gòu)買(mǎi)，1萬(wàn)條二手?jǐn)?shù)據(jù)約300-500元。在整個(gè)數(shù)據(jù)黑色產(chǎn)業(yè)領(lǐng)域，學(xué)生數(shù)據(jù)售價(jià)偏低，相比之下，一些從淘寶、 京東 、 唯品會(huì) 等電商平臺(tái)流出的一手?jǐn)?shù)據(jù)，售價(jià)在3-5元以上，高峰期售價(jià)一度達(dá)到20-30元/條。除此之外，在數(shù)據(jù)黑產(chǎn)中，電商、銀行、股市、車(chē)輛交易等數(shù)據(jù)應(yīng)有盡有。在上述業(yè)內(nèi)人士看來(lái)， “買(mǎi)數(shù)據(jù)的，都是拿來(lái)騙人的，學(xué)生基本騙不到錢(qián)，數(shù)據(jù)賣(mài)不上價(jià)，鄉(xiāng)鎮(zhèn)之類(lèi)學(xué)校的數(shù)據(jù)都賣(mài)不出去�！�

　　10年前，學(xué)生數(shù)據(jù)要比現(xiàn)在值錢(qián)。一位北京某學(xué)校教師告訴記者：“倒賣(mài)生源數(shù)據(jù)的漏洞長(zhǎng)期存在。很多民辦大學(xué)會(huì)借合法專(zhuān)業(yè)的名義搞非法成教、網(wǎng)教來(lái)招生。每年 高考 之后，他們就從各省買(mǎi)考生數(shù)據(jù)，當(dāng)時(shí)一個(gè)省考生數(shù)據(jù)售價(jià)幾十萬(wàn)元。每年賣(mài)出十多萬(wàn)的名單。”

　　對(duì)于開(kāi)設(shè)成教、網(wǎng)教教育的學(xué)校而言，“高分學(xué)生數(shù)據(jù)不值錢(qián)，都是白送，分?jǐn)?shù)低的才值錢(qián)。拿到數(shù)據(jù)之后，學(xué)校安排話務(wù)組開(kāi)始打電話，幾天就能招50-60人�！痹摻處煾嬖V記者：“有的學(xué)校每年因此盈利上億元，2006年左右，吃這碗飯的人粗略估計(jì)有20多萬(wàn)�！�

　　“學(xué)校、教師、教育局、招生辦，能拿到學(xué)生數(shù)據(jù)的部門(mén)太多了，很多人都可能成為泄露數(shù)據(jù)的源頭。不光賣(mài)學(xué)生數(shù)據(jù)，學(xué)校教師的數(shù)據(jù)也都被賣(mài)出去了，老師天天都接好多推銷(xiāo)電話”，該人士回憶稱(chēng)：“2008年之后，主管部門(mén)發(fā)文明確倒賣(mài)生源數(shù)據(jù)是違法行為，但也沒(méi)有控制住。后來(lái)，因?yàn)樯�源減少，公立專(zhuān)業(yè)都招不滿(mǎn)，民辦的招不到生源，這個(gè)生意才淡下來(lái)�！�

　　幾分鐘攻破學(xué)校漏洞

　　行業(yè)內(nèi)市場(chǎng)衰落，行業(yè)外的電信詐騙、廣告推銷(xiāo)市場(chǎng)則開(kāi)始興起，而大量的學(xué)生數(shù)據(jù)流入黑色產(chǎn)業(yè)。

　　“數(shù)據(jù)流入黑產(chǎn)的途徑有三種，”數(shù)據(jù)庫(kù)安全企業(yè)安華金和的安全專(zhuān)家告訴記者，“一種是接觸到數(shù)據(jù)的工作人員泄露數(shù)據(jù)，一種是黑客入侵目標(biāo)獲取數(shù)據(jù)，還有一種是第三方IT系統(tǒng)服務(wù)公司在提供服務(wù)時(shí)獲取數(shù)據(jù)并泄露�！�

　　一位教育信息化資深人士告訴記者：“學(xué)生數(shù)據(jù)存放在很多地方，學(xué)校、招生辦、教育機(jī)構(gòu)等等。目前中小學(xué)數(shù)據(jù)教育部會(huì)提供統(tǒng)一平臺(tái)，但大學(xué)數(shù)據(jù)，則存儲(chǔ)在各個(gè)大學(xué)自己手中�！睌�(shù)據(jù)存儲(chǔ)渠道的多樣，增加了接觸數(shù)據(jù)人員的數(shù)量，也無(wú)限放大了內(nèi)部人員泄密的風(fēng)險(xiǎn)。

　　另一方面，多位來(lái)自信息安全領(lǐng)域的權(quán)威人士告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者：“教育行業(yè)的信息安全能力普遍極低�！痹�360旗下補(bǔ)天漏洞平臺(tái)上，最近兩年內(nèi)提交的相關(guān)教育機(jī)構(gòu)的漏洞超過(guò)1100條，“實(shí)際上遠(yuǎn)比這多，主要是教育機(jī)構(gòu)漏洞太多，白帽子都懶得去測(cè)試，因?yàn)闆](méi)有成就感。隨便一個(gè)入門(mén)的黑客，都能搞定絕大多數(shù)學(xué)校系統(tǒng)，幾乎不耗時(shí)間，甚至只需要敲幾下回車(chē)就可以。”

　　一位信息安全資深人士對(duì)某部委直屬大學(xué)做了測(cè)試，僅用幾分鐘即發(fā)現(xiàn)了該大學(xué)的漏洞，目前該大學(xué)已經(jīng)修復(fù)該漏洞。需要指出，根據(jù)補(bǔ)天漏洞平臺(tái)信息，該平臺(tái)上最近兩年內(nèi)提交的清華大學(xué)、北京大學(xué)也均在50個(gè)左右。此外，近年來(lái)，因?yàn)椤疤滋?hào)學(xué)歷”、“學(xué)歷造假”等事件，教育部指定的學(xué)歷查詢(xún)唯一網(wǎng)站學(xué)信網(wǎng)被屢次質(zhì)疑，不過(guò)，教育部多次回應(yīng)中強(qiáng)調(diào)“學(xué)信網(wǎng)安全”、“沒(méi)有漏洞”。

　　2014年、2015年，教育部與公安部先后聯(lián)合印發(fā)《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》、《教育部 公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》，在全國(guó)開(kāi)展信息系統(tǒng)安全等級(jí)定級(jí)備案工作。兩份通知中，學(xué)生的學(xué)籍、學(xué)位等信息管理系統(tǒng)大多列入第三級(jí)等級(jí)保護(hù)。教育行業(yè)最高安全保護(hù)等級(jí)為第三級(jí)。

　　根據(jù)相關(guān)要求，私密級(jí)、絕密級(jí)、機(jī)密級(jí)信息系統(tǒng)的安全防護(hù)水平分別不低于第三級(jí)、第四級(jí)、第五級(jí)。根據(jù)人民銀行發(fā)布文件，銀行部分系統(tǒng)最高防護(hù)等級(jí)為第四級(jí)。

　　前述教育信息化行業(yè)人士告訴記者： “從這兩年分析的結(jié)果來(lái)看，信息安全，是一個(gè)全社會(huì)都漠視的問(wèn)題，需要所有企業(yè)、機(jī)構(gòu)去提高重視程度，靠公民提高安全意識(shí)，根本沒(méi)用。”