原標(biāo)題:臨沂女孩被騙離世背后:大中小學(xué)數(shù)據(jù)倒賣現(xiàn)象嚴(yán)重
8月19日,剛剛被南京郵電大學(xué)錄取的山東臨沂女孩徐玉玉遭遇電信詐騙,9900元學(xué)費(fèi)被騙走。導(dǎo)致徐玉玉被騙的直接原因,系其聯(lián)系方式以及領(lǐng)取教育助學(xué)金的信息被泄露。
根據(jù)《沂蒙晚報(bào)》報(bào)道,8月18日,被騙前一天,徐玉玉接到了來自真實(shí)教育部門的助學(xué)金電話通知。詐騙嫌疑人則以“領(lǐng)取助學(xué)金”為由,輕易博取了徐玉玉的信任,并騙取了全家省吃儉用大半年節(jié)省下來的9900元學(xué)費(fèi)。
19日晚,徐玉玉及其家人前往派出所報(bào)案,在回家的路上,徐玉玉突然暈厥,雖經(jīng)醫(yī)院歷經(jīng)兩日的全力搶救,但仍沒能挽回她18歲的生命。該事件已經(jīng)引起廣泛關(guān)注。截至目前,微信公眾平臺(tái)上討論此事的文章約4400篇, 人民網(wǎng) 微博 客戶端相關(guān)微博下,已經(jīng)有超過2萬條評(píng)論。
23日晚,臨沂公安微博發(fā)布“開學(xué)在即 謹(jǐn)防以助學(xué)金為名的詐騙方式”的警示內(nèi)容,同時(shí),臨沂警方成立專案組調(diào)查此案件。
需要警惕的是,根據(jù)教育部公布信息,國家助學(xué)金覆蓋了全國20%的本?粕8鶕(jù)國家統(tǒng)計(jì)局信息,2015年,全國普通本?普猩737.8萬人,在校生2625.3萬人,按此比例計(jì)算,今年剛剛?cè)雽W(xué)、領(lǐng)取助學(xué)金的大一新生約150萬人,而在校領(lǐng)取助學(xué)金的大學(xué)生約500萬人。他們,都有可能因?yàn)橹鷮W(xué)金信息泄露面臨詐騙風(fēng)險(xiǎn)。
目前,并不清楚助學(xué)金信息的泄露原因。南京郵電大學(xué)已經(jīng)與警方聯(lián)系,并稱“未聯(lián)系過發(fā)放助學(xué)金事宜”。知情人士介紹,“助學(xué)金從申請(qǐng)到發(fā)放存在多個(gè)環(huán)節(jié),每個(gè)環(huán)節(jié)都可能泄露信息!备鶕(jù)要求,助學(xué)金申請(qǐng)信息包含姓名、身份證信息、聯(lián)系方式、住址等26項(xiàng)內(nèi)容。
倒賣學(xué)生數(shù)據(jù)成風(fēng)
由于普遍不具備經(jīng)濟(jì)能力,且資金不充裕,學(xué)生群體并非電信詐騙的重災(zāi)區(qū)。但這并非意味著學(xué)生群體安全系數(shù)高。事實(shí)上,在記者接觸的多類群體中,學(xué)生信息堪稱“最沒有安全保障”的一類。
近日,記者接觸到數(shù)個(gè)倒賣用戶數(shù)據(jù)的業(yè)內(nèi)人士,其中3人告訴記者:“只要你聽說過的學(xué)校,不論大學(xué)、中學(xué)、小學(xué),(它們的數(shù)據(jù))都有!
其中一位人士向記者展示的上海某知名大學(xué)數(shù)據(jù),包含了學(xué)生姓名、學(xué)號(hào)、性別、年齡、身高、體重、聯(lián)系方式、專業(yè)等詳盡信息。此外,該人士表示可以拿到“全國中小學(xué)生學(xué)籍信息管理系統(tǒng)”,包括學(xué)籍號(hào)、學(xué)校、入學(xué)方式、住址、家庭成員等等。該人士表示, “國內(nèi)學(xué)校,有一半數(shù)據(jù)我都有。即使手頭沒有的,只要你告訴我名字,我也都能拿到!
全國中小學(xué)生學(xué)籍信息管理系統(tǒng),是由教育部在2012年開始實(shí)施上線的系統(tǒng),旨在對(duì)全國范圍內(nèi)的學(xué)生注冊(cè)、學(xué)生信息維護(hù)、畢業(yè)升級(jí)、學(xué)籍異動(dòng)實(shí)施信息化管理,全國超過1.4億名中小學(xué)信息存儲(chǔ)在該系統(tǒng)上。
根據(jù)多位人士報(bào)價(jià),“新鮮出爐”、“沒有賣過”的一手學(xué)生數(shù)據(jù),售價(jià)約1-2元/條,大量采購還有優(yōu)惠。而二手的數(shù)據(jù),基本低于1毛,如果批量購買,1萬條二手?jǐn)?shù)據(jù)約300-500元。在整個(gè)數(shù)據(jù)黑色產(chǎn)業(yè)領(lǐng)域,學(xué)生數(shù)據(jù)售價(jià)偏低,相比之下,一些從淘寶、 京東 、 唯品會(huì) 等電商平臺(tái)流出的一手?jǐn)?shù)據(jù),售價(jià)在3-5元以上,高峰期售價(jià)一度達(dá)到20-30元/條。除此之外,在數(shù)據(jù)黑產(chǎn)中,電商、銀行、股市、車輛交易等數(shù)據(jù)應(yīng)有盡有。在上述業(yè)內(nèi)人士看來, “買數(shù)據(jù)的,都是拿來騙人的,學(xué)生基本騙不到錢,數(shù)據(jù)賣不上價(jià),鄉(xiāng)鎮(zhèn)之類學(xué)校的數(shù)據(jù)都賣不出去!
10年前,學(xué)生數(shù)據(jù)要比現(xiàn)在值錢。一位北京某學(xué)校教師告訴記者:“倒賣生源數(shù)據(jù)的漏洞長期存在。很多民辦大學(xué)會(huì)借合法專業(yè)的名義搞非法成教、網(wǎng)教來招生。每年 高考 之后,他們就從各省買考生數(shù)據(jù),當(dāng)時(shí)一個(gè)省考生數(shù)據(jù)售價(jià)幾十萬元。每年賣出十多萬的名單!
對(duì)于開設(shè)成教、網(wǎng)教教育的學(xué)校而言,“高分學(xué)生數(shù)據(jù)不值錢,都是白送,分?jǐn)?shù)低的才值錢。拿到數(shù)據(jù)之后,學(xué)校安排話務(wù)組開始打電話,幾天就能招50-60人!痹摻處煾嬖V記者:“有的學(xué)校每年因此盈利上億元,2006年左右,吃這碗飯的人粗略估計(jì)有20多萬。”
“學(xué)校、教師、教育局、招生辦,能拿到學(xué)生數(shù)據(jù)的部門太多了,很多人都可能成為泄露數(shù)據(jù)的源頭。不光賣學(xué)生數(shù)據(jù),學(xué)校教師的數(shù)據(jù)也都被賣出去了,老師天天都接好多推銷電話”,該人士回憶稱:“2008年之后,主管部門發(fā)文明確倒賣生源數(shù)據(jù)是違法行為,但也沒有控制住。后來,因?yàn)樯礈p少,公立專業(yè)都招不滿,民辦的招不到生源,這個(gè)生意才淡下來!
幾分鐘攻破學(xué)校漏洞
行業(yè)內(nèi)市場(chǎng)衰落,行業(yè)外的電信詐騙、廣告推銷市場(chǎng)則開始興起,而大量的學(xué)生數(shù)據(jù)流入黑色產(chǎn)業(yè)。
“數(shù)據(jù)流入黑產(chǎn)的途徑有三種,”數(shù)據(jù)庫安全企業(yè)安華金和的安全專家告訴記者,“一種是接觸到數(shù)據(jù)的工作人員泄露數(shù)據(jù),一種是黑客入侵目標(biāo)獲取數(shù)據(jù),還有一種是第三方IT系統(tǒng)服務(wù)公司在提供服務(wù)時(shí)獲取數(shù)據(jù)并泄露。”
一位教育信息化資深人士告訴記者:“學(xué)生數(shù)據(jù)存放在很多地方,學(xué)校、招生辦、教育機(jī)構(gòu)等等。目前中小學(xué)數(shù)據(jù)教育部會(huì)提供統(tǒng)一平臺(tái),但大學(xué)數(shù)據(jù),則存儲(chǔ)在各個(gè)大學(xué)自己手中。”數(shù)據(jù)存儲(chǔ)渠道的多樣,增加了接觸數(shù)據(jù)人員的數(shù)量,也無限放大了內(nèi)部人員泄密的風(fēng)險(xiǎn)。
另一方面,多位來自信息安全領(lǐng)域的權(quán)威人士告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者:“教育行業(yè)的信息安全能力普遍極低。”在360旗下補(bǔ)天漏洞平臺(tái)上,最近兩年內(nèi)提交的相關(guān)教育機(jī)構(gòu)的漏洞超過1100條,“實(shí)際上遠(yuǎn)比這多,主要是教育機(jī)構(gòu)漏洞太多,白帽子都懶得去測(cè)試,因?yàn)闆]有成就感。隨便一個(gè)入門的黑客,都能搞定絕大多數(shù)學(xué)校系統(tǒng),幾乎不耗時(shí)間,甚至只需要敲幾下回車就可以!
一位信息安全資深人士對(duì)某部委直屬大學(xué)做了測(cè)試,僅用幾分鐘即發(fā)現(xiàn)了該大學(xué)的漏洞,目前該大學(xué)已經(jīng)修復(fù)該漏洞。需要指出,根據(jù)補(bǔ)天漏洞平臺(tái)信息,該平臺(tái)上最近兩年內(nèi)提交的清華大學(xué)、北京大學(xué)也均在50個(gè)左右。此外,近年來,因?yàn)椤疤滋?hào)學(xué)歷”、“學(xué)歷造假”等事件,教育部指定的學(xué)歷查詢唯一網(wǎng)站學(xué)信網(wǎng)被屢次質(zhì)疑,不過,教育部多次回應(yīng)中強(qiáng)調(diào)“學(xué)信網(wǎng)安全”、“沒有漏洞”。
2014年、2015年,教育部與公安部先后聯(lián)合印發(fā)《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)》、《教育部 公安部關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》,在全國開展信息系統(tǒng)安全等級(jí)定級(jí)備案工作。兩份通知中,學(xué)生的學(xué)籍、學(xué)位等信息管理系統(tǒng)大多列入第三級(jí)等級(jí)保護(hù)。教育行業(yè)最高安全保護(hù)等級(jí)為第三級(jí)。
根據(jù)相關(guān)要求,私密級(jí)、絕密級(jí)、機(jī)密級(jí)信息系統(tǒng)的安全防護(hù)水平分別不低于第三級(jí)、第四級(jí)、第五級(jí)。根據(jù)人民銀行發(fā)布文件,銀行部分系統(tǒng)最高防護(hù)等級(jí)為第四級(jí)。
前述教育信息化行業(yè)人士告訴記者: “從這兩年分析的結(jié)果來看,信息安全,是一個(gè)全社會(huì)都漠視的問題,需要所有企業(yè)、機(jī)構(gòu)去提高重視程度,靠公民提高安全意識(shí),根本沒用!