南海一技校“遭黑客入侵” 2000多名学生个人隐私泄漏
校方称半年前曾被黑客入侵,并不清楚漏洞为何仍出现
没有黑客技术,也能轻松越过访问权限直接下载后台文件,这样的怪事就发生在南海盐步职业技术学校。网站漏洞致使2000 多名学生个人隐私泄露, 不少家长遭受诈骗困扰,学校回应称因为“遭受黑客入侵”。
打开网上文档 便知学生秘密
近日有读者向羊城晚报爆料, 称盐步职业技术学校(下称盐步技校)学生信息遭到泄露,许多家长接到诈骗电话。
8 日, 记者登录盐步技校官方网站发现,除了官网外,该校还开发了独立运行的教学管理系统, 在其网址http://jdyd.nhedu.net 后加上文档的英文字母“files/”,页面便成功跳转至目录列表。
在里边,有3551 份电子文件,均以“字母”加“数字”的方式进行命名。记者不需要输入账号跟密码,便可任意下载。这些电子文件涉及学校教学的方方面面,包括老师公开课教案、学生申请搭餐人数统计表、实习老师值班安排表等等。
上述资料似乎无关痛痒, 但记者很快发现, 泄露文档中有多份学生实习名单、助学金申请表、技能大赛报名表,包含了学生的真实姓名、身份证编号、照片、联系方式等个人信息。记者甚至找到了三份“(2013 年)11 月19 日走读生吸食违禁品事件记录”, 这是三名未成年学生在厕所吸“K 粉”的口述报告。
令人瞠目结舌的是, 记者下载编号为“cjq250675”的Excle 文件表后,发现这是盐步职业技术学院全校学生的花名册,学生身份证、姓名、家庭详细住址、监护人姓名及手机号码等内容历历在目,涉及该校从2010 年秋季入学至今的2640 名学生完整信息。
骗子窃取信息 家长差点被骗
记者根据花名册的信息,按照“城市户口”、“农村户口”“非佛山地区”等类别,分别拨打给5 位家长, 有两位家长反映接到过关于小孩的诈骗电话。
在外地工作的家长梁女士告诉记者,不久前有位女骗子来电自称是盐步技校的老师,说她儿子出现了严重车祸,被送往医院抢救, 学校垫付医疗费后还不够,让她马上汇钱到指定账号去。
“那骗子知道我们很多信息,我不得不就信了。”梁女士回忆说,她当时心头一惊,赶紧打儿子 手机,却怎么也打不通,心急如焚。后来辗转联系上了,才发现不过是一场骗局,“幸亏没有让骗子得逞”。
一位不愿意透露姓名的家长告诉记者,许多家长都接到诈骗电话,有的还不止接到一两个, “学生个人隐私被泄露至少有一年时间了,学校并没有公开对全体家长进行答复处理。”
半年前被“黑” 漏洞如今仍在?
在网址上添加文档的英文名“files”,便能直接访问后台文件,这到底是巧合还是普遍现象?
据不完全统计, 佛山地区至少还有两所技校开发了独立的教学管理系统网站,分别是顺德职业技术学院和广东纺织职业技术学院。当记者尝试用上述手法进行访问时,浏览器提示“指向错误”,并没有出现可供下载的文件。
有业内人士告诉记者, 之所以可以直接访问后台文件, 是因为设计网页配置服务器信息时,允许用户进行“目录浏览”,没有设置权限拦截, “这是非常低级的漏洞”。
昨日中午, 盐步技校办公室杨主任向记者坦言, 今年6 月份确实有家长投诉学生个人信息泄露,但她对“低级漏洞”给予了否定,“这是被黑客入侵的结果”。
据杨主任介绍, 盐步教学管理系统是内部网络,并不对外公开。接到反映后,学校进行了调查, 发现是校内某电脑遭受了黑客入侵, 导致后台信息泄露。学校已将事件上报给有关部门, 并处理了中毒电脑。
那为何“漏洞”时隔半年重新出现呢?
杨主任坦言不清楚此事, 但她承诺“学校会进一步关注,并处理好这件事情”。
截至昨日下午5 时许, 记者已无法从外部登陆盐步教学管理系统网站。
- 01-092023年的四大网络风险以及如何应对
- 01-09操作系统/虚拟化安全知识域:攻击者模型
- 01-09操作系统/虚拟化安全知识域:操作系统及其设计在安全中的作用
- 01-092022年全球勒索赎金TOP 10
- 03-06俄乌冲突快讯:乌克兰网站被攻击数量超十倍
- 02-23开放式银行创新:开发人员与网络犯罪分子之间的竞赛
- 02-23数据泄露后信息会怎样?
- 02-23四个首创 冬奥网络安全“黑科技”面面观
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 12-05亚马逊推出新一代基础模型 任意模态生成大模
- 12-05OpenAI拓展欧洲业务 将在苏黎世设立办公室
- 12-05微软质疑美国联邦贸易委员会泄露信息 督促其
- 12-05联交所取消宝宝树上市地位 宝宝树:不会对公
- 12-04企业微信致歉:文档打开异常已完成修复