如今校園一卡通和校園網(wǎng)在高校已經(jīng)比較普遍，師生吃飯、選課、查成績(jī)、申請(qǐng)助學(xué)金等都可以在學(xué)校的網(wǎng)站上辦理。因此，高校網(wǎng)站掌握大量學(xué)生個(gè)人信息。

　　但《法制晚報(bào)》（微信公號(hào)：fzwb_52165216）記者近日從中國(guó)最大的網(wǎng)站漏洞響應(yīng)平臺(tái)補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)現(xiàn)，數(shù)百所高校存在漏洞，這些本應(yīng)安全的信息存在著被泄露的風(fēng)險(xiǎn)。

　　近日，教育部在該平臺(tái)注冊(cè)，希望借助民間“白帽子”黑客的力量查找漏洞，避免信息泄露。

　　事件 學(xué)生遭遇“精準(zhǔn)推銷” 疑信息被泄露

　　剛上大四的學(xué)生小呂，最近時(shí)常能收到一些培訓(xùn)學(xué)?？佳姓n程的推銷短信。垃圾短信并不奇怪，但小呂納悶的是，個(gè)別學(xué)校清楚地知道他正在上大四并了解他在哪個(gè)專業(yè)學(xué)習(xí)，甚至清楚地知道他的英語(yǔ)成績(jī)較弱?！拔乙郧笆菆?bào)過(guò)英語(yǔ)班，會(huì)不會(huì)是在那里泄露的？”小呂感到很奇怪。

　　小呂的同學(xué)收到的一條短信，讓他對(duì)信息泄露源產(chǎn)生了懷疑。

　　小呂告訴記者，這名同學(xué)在前三年曾“掛科”，大四要面臨清考。這名同學(xué)收到的短信稱，對(duì)方是一名“黑客”，可以進(jìn)入學(xué)校的教務(wù)系統(tǒng)修改成績(jī)，所以只要花錢，就不用擔(dān)心掛科。同樣的短信，不存在“掛科”問題的小呂和其他同學(xué)都沒有收到。

　　由此，小呂覺得肯定有人“黑”進(jìn)了教務(wù)系統(tǒng)，看到了這些“需求”才發(fā)送的短信。小呂告訴記者，他們并不相信黑客改成績(jī)就能讓他們順利畢業(yè)，但卻讓他們懷疑，自己的個(gè)人信息有可能是被“黑”出來(lái)的。

　　記者隨機(jī)詢問了20余名在校大學(xué)生，幾乎所有同學(xué)都表示從大一開始就遇到過(guò)針對(duì)四六級(jí)考試、考研、商品銷售等方面的垃圾短信。一些畢業(yè)生則表示，考研培訓(xùn)等信息一直到畢業(yè)后一年還會(huì)收到，但之后就沒有了。

　　面對(duì)如此精準(zhǔn)的“推銷”，大部分人都搞不清自己的信息是如何泄露的。

　　追訪 上萬(wàn)學(xué)生學(xué)分可查

　　法晚記者（微信公號(hào)：fzwb_52165216）在補(bǔ)天漏洞平臺(tái)看到一名“白帽子”（識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但并不會(huì)惡意去利用，而是公布其漏洞的人）于10月24日提交的報(bào)告顯示，北京師范大學(xué)的系統(tǒng)中存在一種漏洞，只要隨便找到一個(gè)學(xué)號(hào)，就可以查詢上萬(wàn)名學(xué)生和教職工的信息。

　　補(bǔ)天漏洞響應(yīng)平臺(tái)專家向《法制晚報(bào)》記者演示，通過(guò)該漏洞，黑客可以查詢到該校上萬(wàn)名師生的姓名、學(xué)號(hào)、院系、曾用名、電話、身份信息、各學(xué)科學(xué)分、郵箱等，甚至2006年入學(xué)的學(xué)生信息也可被“挖出”。將這些信息分類整理，就是一份“精準(zhǔn)的客戶名單”。比如，藝術(shù)與傳媒學(xué)院舞蹈專業(yè)在職研究生王某的信息當(dāng)中，可以查到她2014年到2015年春季學(xué)期編舞技法、舞蹈藝術(shù)結(jié)構(gòu)等的各個(gè)學(xué)科的分?jǐn)?shù)。

　　此外專家發(fā)現(xiàn)，通過(guò)漏洞，“黑客”還有可能掌握學(xué)校的信息平臺(tái)，直接使用學(xué)校的短信平臺(tái)向特定師生或工作人員發(fā)送短信。

　　補(bǔ)天漏洞平臺(tái)的安全專家告訴記者，該校的這個(gè)漏洞比較低級(jí)，黑客不僅可以查看師生的個(gè)人信息并將數(shù)據(jù)庫(kù)信息全部“偷走”，留給“黑客”產(chǎn)業(yè)使用。甚至可以越權(quán)為某一名學(xué)生錄入或修改成績(jī)。

　　所以，小呂和同學(xué)們收到的修改成績(jī)的短信并非“空穴來(lái)風(fēng)”。

　　說(shuō)法 密碼太“低級(jí)” 平臺(tái)不專業(yè)

　　出現(xiàn)漏洞的學(xué)校多，而漏洞也是五花八門。對(duì)于安全專家來(lái)說(shuō)，有些漏洞低級(jí)得“可笑”。

　　記者看到，一所學(xué)校的網(wǎng)站管理員直接將密碼設(shè)置為12356這樣幾乎連續(xù)的數(shù)字，對(duì)于黑客來(lái)說(shuō)，破解這個(gè)密碼太簡(jiǎn)單了。

　　對(duì)此，360攻防實(shí)驗(yàn)室負(fù)責(zé)人林偉表示，密碼設(shè)置簡(jiǎn)單是安全意識(shí)不強(qiáng)，而造成這一情況的原因是多方面的。

　　他告訴記者，通常情況下高校除了有官網(wǎng)以外，還有院系網(wǎng)站，甚至還有各職能部門網(wǎng)站。但很多網(wǎng)站并不都是由安全工程師搭建的。一些有相關(guān)專業(yè)的院校，甚至是學(xué)生直接參與搭建的。他們的運(yùn)營(yíng)經(jīng)驗(yàn)不足，導(dǎo)致對(duì)安全風(fēng)險(xiǎn)的預(yù)見性不足，容易在設(shè)計(jì)上出現(xiàn)紕漏。而一些有網(wǎng)絡(luò)安全相關(guān)專業(yè)的院校，雖然也可能由學(xué)生參與搭建，但由于技術(shù)能力強(qiáng)，漏洞就非常少了。

　　還有些學(xué)校的網(wǎng)站安全人員流動(dòng)快，往往過(guò)了幾年之后，新來(lái)的管理者根本不知道搭建者是誰(shuí)，很多搭建信息和漏洞信息也就無(wú)從得知。

　　進(jìn)展 教育部進(jìn)駐補(bǔ)丁平臺(tái) 縮短修復(fù)周期

　　法晚記者（微信公號(hào)：fzwb_52165216）了解到，教育部高度重視高校信息安全工作，教育部在年初就提出直屬高校的信息技術(shù)安全指導(dǎo)意見，并與公安部聯(lián)合部署系統(tǒng)安全等級(jí)保護(hù)工作，建立部署單位網(wǎng)絡(luò)安全通報(bào)機(jī)制。

　　事實(shí)上，很多“白帽子”在發(fā)現(xiàn)漏洞后，是無(wú)法與教育部直接溝通的。為此，他們會(huì)將漏洞信息提供到補(bǔ)天漏洞相應(yīng)平臺(tái)、中國(guó)漏洞庫(kù)等平臺(tái)，再由平臺(tái)和教育主管部門或高校聯(lián)系。近日，教育部在“補(bǔ)天”注冊(cè)，白帽子提交漏洞信息后，平臺(tái)可以第一時(shí)間向教育部通報(bào)。因此，漏洞從被發(fā)現(xiàn)、到審核、提交的時(shí)間被大大縮短了。

　　“高校網(wǎng)站修復(fù)時(shí)間從幾周甚至幾個(gè)月，縮短到1到3天，有的漏洞做到了當(dāng)天發(fā)現(xiàn)當(dāng)天修復(fù)?！毖a(bǔ)天漏洞平臺(tái)負(fù)責(zé)人介紹。

　　在他看來(lái)，教育部在“補(bǔ)天”注冊(cè)后，起到了帶頭作用，幾十所高校也扎堆來(lái)注冊(cè)，某高校24日被發(fā)現(xiàn)漏洞，補(bǔ)天平臺(tái)及時(shí)推送，當(dāng)天就被確認(rèn)，第二天被修復(fù)，最大限度地避免了信息泄露。（范博韜 陳涵）