130万考研用户信息被泄露
发布日期:2014年11月28离2015研究生招生考试还有一个月,不断有考生在网上抱怨起手机或邮箱受到欺诈广告骚扰。现在,已经有了答案:综合近日网传相关信息判断,他们的报考信息已经泄露,其中包括完整的个人身份信息和联系方式。
事实上,早在10月20日,乌云安全漏洞报告平台就已曝光中国高等教育学生信息网的重大安全漏洞:学历校验结果网页未检查用户权限,更改网址参数可能随机命中第三人的学历信息,其中包括姓名、身份证号码、毕业学校、毕业年月、最后学历、学历证书编号等,黑客编写简单遍历程序即可自动抓取全部数据。
此类漏洞被OWASP工程组(Open Web Application Security Project)列入十大最重要的Web安全风险A4级——不安全的直接对象引用,但相关单位仅悄悄地修补漏洞,对外声称其无影响、予以忽略。
此次130万考生信息被一锅端的中国研究生招生信息网就是中国高等教育学生信息网(简称“学信网”)的子网站,其泄露信息的范围更广,除考生个人信息外,还有手机号码、个人邮箱、报考学校、专业和研究方向等。目前,这些信息已被用于地下交易,处于完全失控状态,正在诈骗犯罪团伙手里发挥着经济价值(定向出售“考题”、“答案”,或承诺录取以骗取钱财等)。截止目前,该信息泄露原因尚不得而知,无法断言其源自技术漏洞还是管理漏洞。
无独有偶,10月6日,全国大学生四六级考试官方网站被曝SQL注入漏洞,黑客可利用该漏洞控制服务器主机管理系统,漏洞等级属A1级,即最高危级。估计该数据库极可能也已经被黑客完全掌握,并用于地下交易。
常见SQL注入漏洞可以使用自动工具扫描出来,并及时修补。含有敏感信息的网页应检查用户权限,则是安全常规。低级错误酿成严重后果,出乎一般预期。
教育网的几个关键服务接连出现重大安全漏洞和敏感信息泄露事故,腾讯安全专家roye表示,相关厂商应强化安全责任意识。同时,我们特别提醒相关考生,在接到出售相关考试“考题”、“答案”,或承诺录取等陌生电话或邮件时,切莫心存侥幸,谨防上当受骗。
新闻来源腾讯网