南海一技校“遭黑客入侵” 2000多名学生个人隐私泄漏

校方称半年前曾被黑客入侵，并不清楚漏洞为何仍出现

没有黑客技术，也能轻松越过访问权限直接下载后台文件，这样的怪事就发生在南海盐步职业技术学校。网站漏洞致使2000 多名学生个人隐私泄露， 不少家长遭受诈骗困扰，学校回应称因为“遭受黑客入侵”。

打开网上文档 便知学生秘密

近日有读者向羊城晚报爆料， 称盐步职业技术学校（下称盐步技校）学生信息遭到泄露，许多家长接到诈骗电话。

8 日， 记者登录盐步技校官方网站发现，除了官网外，该校还开发了独立运行的教学管理系统， 在其网址http://jdyd.nhedu.net 后加上文档的英文字母“files/”，页面便成功跳转至目录列表。

在里边，有3551 份电子文件，均以“字母”加“数字”的方式进行命名。记者不需要输入账号跟密码，便可任意下载。这些电子文件涉及学校教学的方方面面，包括老师公开课教案、学生申请搭餐人数统计表、实习老师值班安排表等等。

上述资料似乎无关痛痒， 但记者很快发现， 泄露文档中有多份学生实习名单、助学金申请表、技能大赛报名表，包含了学生的真实姓名、身份证编号、照片、联系方式等个人信息。记者甚至找到了三份“（2013 年）11 月19 日走读生吸食违禁品事件记录”， 这是三名未成年学生在厕所吸“K 粉”的口述报告。

令人瞠目结舌的是， 记者下载编号为“cjq250675”的Excle 文件表后，发现这是盐步职业技术学院全校学生的花名册，学生身份证、姓名、家庭详细住址、监护人姓名及手机号码等内容历历在目，涉及该校从2010 年秋季入学至今的2640 名学生完整信息。

骗子窃取信息 家长差点被骗

记者根据花名册的信息，按照“城市户口”、“农村户口”“非佛山地区”等类别，分别拨打给5 位家长， 有两位家长反映接到过关于小孩的诈骗电话。

在外地工作的家长梁女士告诉记者，不久前有位女骗子来电自称是盐步技校的老师，说她儿子出现了严重车祸，被送往医院抢救， 学校垫付医疗费后还不够，让她马上汇钱到指定账号去。

“那骗子知道我们很多信息，我不得不就信了。”梁女士回忆说，她当时心头一惊，赶紧打儿子 手机，却怎么也打不通，心急如焚。后来辗转联系上了，才发现不过是一场骗局，“幸亏没有让骗子得逞”。

一位不愿意透露姓名的家长告诉记者，许多家长都接到诈骗电话，有的还不止接到一两个， “学生个人隐私被泄露至少有一年时间了，学校并没有公开对全体家长进行答复处理。”

半年前被“黑” 漏洞如今仍在？

在网址上添加文档的英文名“files”，便能直接访问后台文件，这到底是巧合还是普遍现象？

据不完全统计， 佛山地区至少还有两所技校开发了独立的教学管理系统网站，分别是顺德职业技术学院和广东纺织职业技术学院。当记者尝试用上述手法进行访问时，浏览器提示“指向错误”，并没有出现可供下载的文件。

有业内人士告诉记者， 之所以可以直接访问后台文件， 是因为设计网页配置服务器信息时，允许用户进行“目录浏览”，没有设置权限拦截， “这是非常低级的漏洞”。

昨日中午， 盐步技校办公室杨主任向记者坦言， 今年6 月份确实有家长投诉学生个人信息泄露，但她对“低级漏洞”给予了否定，“这是被黑客入侵的结果”。

据杨主任介绍， 盐步教学管理系统是内部网络，并不对外公开。接到反映后，学校进行了调查， 发现是校内某电脑遭受了黑客入侵， 导致后台信息泄露。学校已将事件上报给有关部门， 并处理了中毒电脑。

那为何“漏洞”时隔半年重新出现呢？

杨主任坦言不清楚此事， 但她承诺“学校会进一步关注，并处理好这件事情”。

截至昨日下午5 时许， 记者已无法从外部登陆盐步教学管理系统网站。