谁泄露了徐玉玉们的个人信息?教育机构网站系统安全堪忧
谁是“杀死”徐玉玉的“凶手”?
18岁的生命代价换来了全国上下对信息诈骗的关注热潮,但当大家庆幸于参与诈骗的几名犯罪嫌疑人很快落网的时候,却很少有人追究,究竟是谁泄露了徐玉玉的信息,诈骗分子精准的信息从何而来?显然,当地教育机构难辞其咎。
徐玉玉并非孤例。8月底以来,大学生和准大学生被网络通信诈骗成了高频事件,多起类似案件导致受害人猝死事件被曝光,这些悲剧是否能唤醒信息泄露源头对自身信息安全缺陷的反省和弥补呢?
在两周的时间里,《IT时报》记者与数十个白帽子进行了沟通,并随机选择了北京和山东两所高中的官方网站,请专业的安全人士进行评测,结果并不乐观,其中一所高中的官网被检测出已经发生过信息泄露,而另一所高中的官网甚至已经被挂上了黑链。
更令人揪心的是,业内知名的“白帽子”网站乌云暂停服务之后,“白帽子”的身份变得十分尴尬,在漏洞面前开始选择沉默。当黑客成为网络安全领域的唯一玩家时,谁来保护我们的信息安全?
两所高中官网安全实测:都已被攻击过
徐玉玉事件中,女孩被骗的关键因素之一,是对方声称将为她发放助学金,这句话轻易获取了徐玉玉的信赖,此前一天,她刚好收到了关于助学金的相关通知。个人信息的泄露直接导致了最终诈骗的成功。
助学金的信息应该来自教育机构,而教育机构信息安全防范水平低在业内并不是秘密。
一位今年刚毕业的“白帽子”休明(化名)告诉记者,学校网站的安全防御一直都很弱,出现徐玉玉这样的事件,他一点都不觉得意外。3年前,休明因为好奇和好玩,“潜”入了自己就读的学校系统,他发现,要逃过学校的安全防控体系轻而易举,“我最快的纪录是3分钟潜入系统,有些安全防控几乎形同虚设,教务信息、学生学籍信息全都赤裸裸地摆在那里,想要修改自己的学习成绩是分分钟的事。”
随着悲剧不断曝光,这些曾经的薄弱环节是否加强了对信息安全的保护?记者随机选择了两所国内重点高中,邀请了两位安全领域专业人士进行简单的安全测试。
首先测试的是北京某附中,根据其官方介绍,这是一所北京市示范性高级中学、教育部直属重点学校、北京市首批示范高中,在其官网首页有一个名为“数字校园”的登录入口,需要提供用户名和密码才能登录。然而,检测刚刚开始2分钟,安全人员便告诉《IT时报》记者,这个网站的系统没有设置防火墙,黑客很容易进入。
在经过专业软件2个小时的测试后,检测的“白帽子”得到一个初步结论:目前来看,网站本身不存在漏洞,但存在信息泄露。从检测的数据看,网站上有两个压缩包已经泄露,同时泄露的还有主机源代码。这在安全人士看来,已经属于较为严重的信息泄露,黑客拿到源代码后可以更方便寻找漏洞,从而进一步获取相关有价值的信息数据。
出于职业规范考量,检测的“白帽子”并没有打开已经泄露的压缩包及主机源代码。因此,压缩包内究竟包含怎样的信息,暂不得而知。
第二所被测试的学校来自徐玉玉的老家——山东某实验中学,同样是山东省内屈指可数的重点高中。从其官网公开信息来看,学生可在网站上实现网上选课,教师也可通过账户和密码进入网上办公系统。因此,学生的选课信息、考试成绩等等相关的个人信息应该都在网站后台数据库内保留。那么这所学校的官网安全情况如何呢?
检测开始1分钟后,“白帽子”告诉记者,这家网站已经被黑。根据检测结果来看,网站使用的是iwms系统,这一类系统通常是从第三方购入的现成网站结构,即买即用,技术难度低,价格不算昂贵,普遍受到教育机构等官方机构的欢迎,但也容易忽视后期的安全维护,如果一家网站被攻破,采用类似结构的其他同类网站很有可能都成为黑客攻击的对象。
从安全检测报告来看,这家网站的漏洞很多,最关键的是,网站已经被人挂上了黑链,打开官网地址下的一个二级域名,页面显示为诸多赌博网站网址的集成网页。在检测的“白帽子”看来,说明网站已经被别有用心的人“看中”,处于信息泄露的高危状态,一旦挂上黑链之后,黑客可以直接借助这个网站来进行导流。
为教育机构找漏洞 吃力不讨好
在“白帽子”圈内,为教育机构找漏洞是一件吃力不讨好的事,漏洞多,且重视程度不高,很多此前上报的漏洞,最后往往都不了了之。
一位“白帽子”告诉记者,过去两年里,他自己曾上报过不下十个来自各类学校的安全漏洞,只有一所学校最终主动修补了漏洞。一年前,他曾上报过新疆某考试院网站存在的高危漏洞,在漏洞描述中他这样写道:一旦泄露,将有16万考生信息流入黑色产业。但随着高考的结束,相关页面被关,这件事最终没了下文。
他还曾提交了自己就读的福州某高校图书馆系统存在的“SQL注入”高危漏洞:“提交一个,让学校重视一下,一个学校网站的安全,代表一个学校信息专业的水平……”但最终,漏洞还是没能得到修复。
这位“白帽子”告诉记者,大部分学校认为后台并没有重要信息,因此对于信息安全的防控始终都不重视,“有些地区的学校会将学生,尤其是考生的信息迁移到类似学信网这样的专业考试网站,顺便就将自身防御责任也一同转移了。”
但学信网的安全系数就足够高了吗?此前乌云平台上,也曾出现过学信网信息泄露的漏洞上报。这位“白帽子”曾经在漏洞上报一段时间后再次查看,结果发现漏洞依然没有得到修补,一份加密版的数据库依然在暴露状态。
“这个加密版的防御系数的确要高于普通学校的安全级别,我当时攻破不了,但这并不代表其他人也无法攻破。”这位“白帽子”认为,这样的数据信息一旦被破解,流入黑市后,将有巨大的市场价值以及无法估量的危害。
此前就有媒体曝出,只要在QQ群内搜索“考试数据”,轻易找到各类“出售考试名单”的卖主,根据他们的报价,去年参加研究生考试的160万考生信息的报价是4000元,而其覆盖的范围已经涉及“湖南全省”“重庆”“江苏”等7省市的10万名考生信息。
教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》两份通知中,对教育行业建议的最高安全保护等级为第三级(级数越高要求越高),但事实上,目前很少有学校能达标。尽管在各级教育机构中,大学官网的安全系数普遍略高于高中及职业学校,至少都拥有“防火墙”,但与防护级别为四级的银行防护系统相比,中间的差距依然不在一个等级。
在业内人士看来,徐玉玉事件发生之前,教育机构、政府机构等官网一直是受攻击的重灾区。除了后续投入和维护成本较高等因素之外,相关管理者意识的懈怠是主要因素,“一是他们对相关技术不了解,不熟悉其背后可能带来的影响,其次就是不舍得在这个看不见的地方投钱。”
记者观察
“白帽子”在退缩
进行调查的过程中,《IT时报》记者有机会接触到数十位安全领域的白帽子,他们普遍对于半公益的漏洞查找持谨慎态度。
这种谨慎源自乌云的停摆。作为国内最为知名的漏洞平台,乌云网曾经是多起知名网站漏洞的首发披露地,但今年以来,先是有著名 “白帽子”袁炜被捕,而后乌云网包括创始人在内的“多名高管被抓”,乌云被迫停摆,接连的事件再次引发了人们对于“白帽子”黑客行为边界的大讨论,也让“白帽子”人人自危。
越来越多的“白帽子”开始向纯商业行为转型。“不上报了,没钱,说不定还惹麻烦。”一位刚进入安全领域不到两年的年轻“白帽子”坦言,本来向平台上报漏洞的初衷是遏制黑产蔓延,但现在整个社会的大环境对于类似的行为都有疑虑,因此行业中的很多人都不再热衷于做类似的半公益性质的漏洞查找。
有业内人士表示,这样的趋势并不利于类似公共机构安全防御能力的提升,“学校、政府作为公共机构本身就需要社会各方的共同监督及保护,在他们自身不具备专业安全防御能力情况下,社会防御力量又在撤退,单纯依靠其自身安全技术能力的提升,进度会更缓慢。”
9月8日,记者向两所被检测高中的官方微博发私信进行了提醒。
本文转自d1net(转载)