揭秘倒卖学生数据黑色产业链:几分钟攻破学校漏洞
来源:21世纪经济报道(广州) 发布时间:2016-08-25 14:49:55

临沂女孩遭遇电信诈骗的背后,是教育行业信息安全存在巨大漏洞。

8月19日,刚刚被南京邮电大学录取的山东临沂女孩徐玉玉遭遇电信诈骗,9900元学费被骗走。导致徐玉玉被骗的直接原因,系其联系方式以及领取教育助学金的信息被泄露。

根据《沂蒙晚报》报道,8月18日,被骗前一天,徐玉玉接到了来自真实教育部门的助学金电话通知。诈骗嫌疑人则以“领取助学金”为由,轻易博取了徐玉玉的信任,并骗取了全家省吃俭用大半年节省下来的9900元学费。

19日晚,徐玉玉及其家人前往派出所报案,在回家的路上,徐玉玉突然晕厥,虽经医院历经两日的全力抢救,但仍没能挽回她18岁的生命。该事件已经引起广泛关注。截至目前,微信公众平台上讨论此事的文章约4400篇,人民网微博客户端相关微博下,已经有超过2万条评论。

23日晚,临沂公安微博发布“开学在即 谨防以助学金为名的诈骗方式”的警示内容,同时,临沂警方成立专案组调查此案件。

需要警惕的是,根据教育部公布信息,国家助学金覆盖了全国20%的本专科生。根据国家统计局信息,2015年,全国普通本专科招生737.8万人,在校生2625.3万人,按此比例计算,今年刚刚入学、领取助学金的大一新生约150万人,而在校领取助学金的大学生约500万人。他们,都有可能因为助学金信息泄露面临诈骗风险。

目前,并不清楚助学金信息的泄露原因。南京邮电大学已经与警方联系,并称“未联系过发放助学金事宜”。知情人士介绍,“助学金从申请到发放存在多个环节,每个环节都可能泄露信息。”根据要求,助学金申请信息包含姓名、身份证信息、联系方式、住址等26项内容。

倒卖学生数据成风

由于普遍不具备经济能力,且资金不充裕,学生群体并非电信诈骗的重灾区。但这并非意味着学生群体安全系数高。事实上,在记者接触的多类群体中,学生信息堪称“最没有安全保障”的一类。

近日,记者接触到数个倒卖用户数据的业内人士,其中3人告诉记者:“只要你听说过的学校,不论大学、中学、小学,(它们的数据)都有。”

其中一位人士向记者展示的上海某知名大学数据,包含了学生姓名、学号、性别、年龄、身高、体重、联系方式、专业等详尽信息。此外,该人士表示可以拿到“全国中小学生学籍信息管理系统”,包括学籍号、学校、入学方式、住址、家庭成员等等。该人士表示, “国内学校,有一半数据我都有。即使手头没有的,只要你告诉我名字,我也都能拿到。”

全国中小学生学籍信息管理系统,是由教育部在2012年开始实施上线的系统,旨在对全国范围内的学生注册、学生信息维护、毕业升级、学籍异动实施信息化管理,全国超过1.4亿名中小学信息存储在该系统上。

根据多位人士报价,“新鲜出炉”、“没有卖过”的一手学生数据,售价约1-2元/条,大量采购还有优惠。而二手的数据,基本低于1毛,如果批量购买,1万条二手数据约300-500元。在整个数据黑色产业领域,学生数据售价偏低,相比之下,一些从淘宝、京东、唯品会等电商平台流出的一手数据,售价在3-5元以上,高峰期售价一度达到20-30元/条。除此之外,在数据黑产中,电商、银行、股市、车辆交易等数据应有尽有。在上述业内人士看来, “买数据的,都是拿来骗人的,学生基本骗不到钱,数据卖不上价,乡镇之类学校的数据都卖不出去。”

10年前,学生数据要比现在值钱。一位北京某学校教师告诉记者:“倒卖生源数据的漏洞长期存在。很多民办大学会借合法专业的名义搞非法成教、网教来招生。每年高考之后,他们就从各省买考生数据,当时一个省考生数据售价几十万元。每年卖出十多万的名单。”

对于开设成教、网教教育的学校而言,“高分学生数据不值钱,都是白送,分数低的才值钱。拿到数据之后,学校安排话务组开始打电话,几天就能招50-60人。”该教师告诉记者:“有的学校每年因此盈利上亿元,2006年左右,吃这碗饭的人粗略估计有20多万。”

“学校、教师、教育局、招生办,能拿到学生数据的部门太多了,很多人都可能成为泄露数据的源头。不光卖学生数据,学校教师的数据也都被卖出去了,老师天天都接好多推销电话”,该人士回忆称:“2008年之后,主管部门发文明确倒卖生源数据是违法行为,但也没有控制住。后来,因为生源减少,公立专业都招不满,民办的招不到生源,这个生意才淡下来。”

几分钟攻破学校漏洞

行业内市场衰落,行业外的电信诈骗、广告推销市场则开始兴起,而大量的学生数据流入黑色产业。

“数据流入黑产的途径有三种,”数据库安全企业安华金和的安全专家告诉记者,“一种是接触到数据的工作人员泄露数据,一种是黑客入侵目标获取数据,还有一种是第三方IT系统服务公司在提供服务时获取数据并泄露。”

一位教育信息化资深人士告诉记者:“学生数据存放在很多地方,学校、招生办、教育机构等等。目前中小学数据教育部会提供统一平台,但大学数据,则存储在各个大学自己手中。”数据存储渠道的多样,增加了接触数据人员的数量,也无限放大了内部人员泄密的风险。

另一方面,多位来自信息安全领域的权威人士告诉21世纪经济报道记者:“教育行业的信息安全能力普遍极低。”在360旗下补天漏洞平台上,最近两年内提交的相关教育机构的漏洞超过1100条,“实际上远比这多,主要是教育机构漏洞太多,白帽子都懒得去测试,因为没有成就感。随便一个入门的黑客,都能搞定绝大多数学校系统,几乎不耗时间,甚至只需要敲几下回车就可以。”

一位信息安全资深人士对某部委直属大学做了测试,仅用几分钟即发现了该大学的漏洞,目前该大学已经修复该漏洞。需要指出,根据补天漏洞平台信息,该平台上最近两年内提交的清华大学、北京大学也均在50个左右。此外,近年来,因为“套号学历”、“学历造假”等事件,教育部指定的学历查询唯一网站学信网被屡次质疑,不过,教育部多次回应中强调“学信网安全”、“没有漏洞”。

2014年、2015年,教育部与公安部先后联合印发《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。两份通知中,学生的学籍、学位等信息管理系统大多列入第三级等级保护。教育行业最高安全保护等级为第三级。

根据相关要求,私密级、绝密级、机密级信息系统的安全防护水平分别不低于第三级、第四级、第五级。根据人民银行发布文件,银行部分系统最高防护等级为第四级。

前述教育信息化行业人士告诉记者: “从这两年分析的结果来看,信息安全,是一个全社会都漠视的问题,需要所有企业、机构去提高重视程度,靠公民提高安全意识,根本没用。”

标签: 产业链 漏洞 黑色

猜你喜欢

京津冀消协测评36款冷冻饮品 脂肪含量差别大

近日,京津冀三地消费者组织联合北京阳光消费大数据研究院对市场上销量较大、关注度较高的热销冷冻...更多

2022-09-13 10:44:26

受巴菲特减持影响!比亚迪A、H股开盘均大幅跳水

受股神减持消息影响,8月31日,比亚迪A、H股开盘均大幅跳水,A股盘中跌超8%至284元,收市跌7 36%,...更多

2022-09-02 08:35:04

波澜未减反增、侵权责任认定成聚焦点 综艺侵权“

音乐人柳青瑶控诉灿星推出的综艺《蒙面舞王第三季》舞台表演曲目涉嫌侵权其原创作品《兰陵王入阵曲...更多

2022-08-30 10:38:43

525万元大额罚单背后 金华银行贷款业务为何问题

居于浙江中部的金华银行股份有限公司(下称金华银行)聚焦建设产业银行、行业银行、家庭银行、绿色银...更多

2022-06-20 09:51:48

行业罚款不断 被用户忽略的消费金融用户隐私协议

日前,锦程消费金融因违反信用信息采集、提供、查询及相关管理规定,被央行成都分行罚款22 6万元。...更多

2022-05-17 09:11:14

一季度最终消费支出增长对经济增长贡献率达69.4%

国家统计局公布的最新数据显示,今年一季度,最终消费支出增长对经济增长贡献率达69 4%。可见,消...更多

2022-05-16 08:27:29

中国品牌影响力日益提升 稳固提升中国制造竞争力

东南亚国家正在成为亚洲出口的新兴力量。仅3月份,泰国出口同比增长19 5%,是自1991年有记录以来的...更多

2022-05-12 11:37:32

生命科学的世纪来了 为何大佬们都钟情生命科学赛

为何大佬们都钟情生命科学赛道?业内一直有个说法,21世纪是生命科学的世纪。有受访者表示,对于这些...更多

2022-05-06 16:43:14

半年少卖2亿、关店133家 优衣库在国内市场“退烧

优衣库在国内市场退烧了。近来国内大部分地区的物流运输减缓,90后小宇这才不情愿地走进了一家北京...更多

2022-04-26 18:00:47

一天涨粉千万 还会有下一个“刘畊宏”吗?

最近一周之内,刘畊宏凭借三场抖音直播圈粉超2000万,热度直逼李佳琦。只不过,刘畊宏的直播内容不...更多

2022-04-26 17:59:34