快捷导航
本帖最后由 Regan 于 2014-12-4 13:56 编辑

离2015研究生招生考试还有一个月,不断有考生在网上抱怨起手机或邮箱受到欺诈广告骚扰。现在,已经有了答案:综合近日网传相关信息判断,他们的报考信息已经泄露,其中包括完整的个人身份信息和联系方式。
66244e7a6e32c.jpg
事实上,早在10月20日,乌云安全漏洞报告平台就已曝光中国高等教育学生信息网的重大安全漏洞:学历校验结果网页未检查用户权限,更改网址参数可能随机命中第三人的学历信息,其中包括姓名、身份证号码、毕业学校、毕业年月、最后学历、学历证书编号等,黑客编写简单遍历程序即可自动抓取全部数据。
6dd341a914c4b05.jpg
此次130万考生信息被一锅端的中国研究生招生信息网就是中国高等教育学生信息网(简称“学信网”)的子网站,其泄露信息的范围更广,除考生个人信息外,还有手机号码、个人邮箱、报考学校、专业和研究方向等。目前,这些信息已被用于地下交易,处于完全失控状态,正在诈骗犯罪团伙手里发挥着经济价值(定向出售“考题”、“答案”,或承诺录取以骗取钱财等)。截止目前,该信息泄露原因尚不得而知,无法断言其源自技术漏洞还是管理漏洞。
20141129034257481.jpg
无独有偶,10月6日,全国大学生四六级考试官方网站被曝SQL注入漏洞,黑客可利用该漏洞控制服务器主机管理系统,漏洞等级属A1级,即最高危级。估计该数据库极可能也已经被黑客完全掌握,并用于地下交易。
 据了解,卖家出售的数据不仅涉及到考研用户的姓名、性别,还有手机号码、座机号码、身份证号、家庭住址、邮编、学校、报考的专业等敏感信息。整个数量大约130万,卖家的打包价是15000,据称是多次转卖后才会是这个价格。目前,已有很多考研用户反映,接到卖考题、卖答案、办补习班等的电话。
  对于数据泄露的原因,目前正在进一步调查中。相关人士透露,泄露环节很多,可能是系统漏洞、网络攻击所致,也可能是内部管理不当。
  对于系统漏洞,涉及到的环节比较多。系统本身的bug,以及缺少必要的安全策略,例如考生在提交信息的时候登录的网站是否以 https 模式传输等,都会导致考生信息泄露。目前沃通以为多家国内著名高校颁发了SSL证书,确保数据的在线传输安全。
  据了解,网站漏洞数量每年成倍增长,安全问题反馈及发布平台乌云网透露,2013年一年受到约4万多个漏洞,2012年是2万多。乌云网联合创始人邬迪表示,要防范并及时弥补漏洞,并不容易。一些大型的金融机构、互联网企业等,一般有专职的安全团队去做,但是对于普通企业,特别是互联网金融、O2O等很多创业型公司,早期可能就是程序员、开发人员做一些业务,但现在能力上、经济实力上或者关注点上还没到安全这一块,所以问题比较多,短期内也比较难解决,可能会越来越多。

举报 使用道具
| 回复

共 4 个关于130万研究生报考人信息泄露—您的数据加密了吗?的回复 最后回复于 2014-12-8 16:18

0721xsp 金牌会员 发表于 2014-12-2 14:43:18 | 显示全部楼层
吓,还是赶紧用证书加密网站吧
举报 使用道具
24797892-opq 中级会员 发表于 2014-12-4 13:46:45 | 显示全部楼层
楼主,发现错字啦:可能会原来越多。 是越来越多吧

看到网站上不是https访问的,每次填写资料都心惊胆战的。无奈中国很多网站都没有这方面的安全意识,认为用户的资料不重要,不会被盗取!
举报 使用道具
Benjie 沃通技术支持 注册会员 发表于 2014-12-8 10:40:21 | 显示全部楼层
以后提交个人资料的时候要注意看下,提交的网址是不是https开头,先从传输过程中保证数据安全!
举报 使用道具
cs8@love 中级会员 发表于 2014-12-8 16:18:36 | 显示全部楼层
网络信息安全真心重要,不要老泄露啊  
举报 使用道具
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表