作者:dations
来源: 
时间: 2016-08-26 10:59:51 评论(导读:徐玉玉的死激起了轩然大波,人们在同情这个姑娘的同时,再一次点燃对骗子的仇恨。目前,山东警方已就此案成立专案组,力求早日破案。
8月21日,18岁的徐玉玉离开了人世。
徐玉玉是今年的高考生,已经被南京邮电大学录取。8月19日,她接到了一个电话,最终将全家人省吃俭用攒下来的9900元学费全部汇给对方。在确认自己受骗选择报警后,在回家路上,她呼吸骤停,抢救无效后死亡。
徐玉玉的死激起了轩然大波,人们在同情这个姑娘的同时,再一次点燃对骗子的仇恨。目前,山东警方已就此案成立专案组,力求早日破案。
骗子如何能获知徐玉玉的高中毕业生身份,进行精准定位的诈骗呢?这成为这场悲剧留给众人的一大疑问。
暴利,来钱快,使得加入倒卖个人信息的人越来越多,这已经成为了一个黑*产业链。在交易市场中,被贩卖的信息都有着明码标价。据有关人士透露,一手的学生数据,售价约1-2元/条,大量采购还有优惠。相比于学生的信息,电商、银行、保险、股市交易的数据价格更为抢手,价格也更高。而买这些数据的人,都是拿来骗人的。
由于普遍不具备经济能力,且资金不充裕,学生群体并非电信诈骗的重灾区。但这并非意味着学生群体安全系数高。事实上,在记者接触的多类群体中,学生信息堪称最没有安全保障的一类。
近日,记者接触到数个倒卖用户数据的业内人士,其中3人告诉记者:只要你听说过的学校,不论大学、中学、小学,(它们的数据)都有。
其中一位人士向记者展示的上海某知名大学数据,包含了学生姓名、学号、*别、年龄、身高、体重、联系方式、专业等详尽信息。此外,该人士表示可以拿到全国中小学生学籍信息管理系统,包括学籍号、学校、入学方式、住址、家庭成员等等。该人士表示,国内学校,有一半数据我都有。即使手头没有的,只要你告诉我名字,我也都能拿到。
全国中小学生学籍信息管理系统,是由教育部在2012年开始实施上线的系统,旨在对全国范围内的学生注册、学生信息维护、毕业升级、学籍异动实施信息化管理,全国超过1.4亿名中小学信息存储在该系统上。
根据多位人士报价,新鲜出炉、没有卖过的一手学生数据,售价约1-2元/条,大量采购还有优惠。而二手的数据,基本低于1毛,如果批量购买,1万条二手数据约300-500元。在整个数据黑*产业领域,学生数据售价偏低,相比之下,一些从淘宝、京东、唯品会等电商平台流出的一手数据,售价在3-5元以上,高峰期售价一度达到20-30元/条。除此之外,在数据黑产中,电商、银行、股市、车辆交易等数据应有尽有。在上述业内人士看来,买数据的,都是拿来骗人的,学生基本骗不到钱,数据卖不上价,乡镇之类学校的数据都卖不出去。
10年前,学生数据要比现在值钱。一位北京某学校教师告诉记者:倒卖生源数据的漏洞长期存在。很多民办大学会借合法专业的名义搞非法成教、网教来招生。每年高考之后,他们就从各省买考生数据,当时一个省考生数据售价几十万元。每年卖出十多万的名单。
对于开设成教、网教教育的学校而言,高分学生数据不值钱,都是白送,分数低的才值钱。拿到数据之后,学校安排话务组开始打电话,几天就能招50-60人。该教师告诉记者:有的学校每年因此盈利上亿元,2006年左右,吃这碗饭的人粗略估计有20多万。
学校、教师、教育局、招生办,能拿到学生数据的部门太多了,很多人都可能成为泄露数据的源头。不光卖学生数据,学校教师的数据也都被卖出去了,老师天天都接好多推销电话,该人士回忆称:2008年之后,主管部门发文明确倒卖生源数据是违法行为,但也没有控制住。后来,因为生源减少,公立专业都招不满,民办的招不到生源,这个生意才淡下来。
行业内市场衰落,行业外的电信诈骗、广告推销市场则开始兴起,而大量的学生数据流入黑*产业。
数据流入黑产的途径有三种,数据库安全企业安华金和的安全专家告诉记者,一种是接触到数据的工作人员泄露数据,一种是黑客入侵目标获取数据,还有一种是第三方IT系统服务公司在提供服务时获取数据并泄露。
一位教育信息化资深人士告诉记者:学生数据存放在很多地方,学校、招生办、教育机构等等。目前中小学数据教育部会提供统一平台,但大学数据,则存储在各个大学自己手中。数据存储渠道的多样,增加了接触数据人员的数量,也无限放大了内部人员泄密的风险。
另一方面,多位来自信息安全领域的权威人士告诉21世纪经济报道记者:教育行业的信息安全能力普遍极低。在360旗下补天漏洞平台上,最近两年内提交的相关教育机构的漏洞超过1100条,实际上远比这多,主要是教育机构漏洞太多,白帽子都懒得去测试,因为没有成就感。随便一个入门的黑客,都能搞定绝大多数学校系统,几乎不耗时间,甚至只需要敲几下回车就可以。
一位信息安全资深人士对某部委直属大学做了测试,仅用几分钟即发现了该大学的漏洞,目前该大学已经修复该漏洞。需要指出,根据补天漏洞平台信息,该平台上最近两年内提交的清华大学、北京大学也均在50个左右。此外,近年来,因为套号学历、学历造假等事件,教育部指定的学历查询唯一网站学信网被屡次质疑,不过,教育部多次回应中强调学信网安全、没有漏洞。
2014年、2015年,教育部与公安部先后联合印发《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。两份通知中,学生的学籍、学位等信息管理系统大多列入第三级等级保护。教育行业最高安全保护等级为第三级。
根据相关要求,xx级、绝密级、机密级信息系统的安全防护水平分别不低于第三级、第四级、第五级。根据人民银行发布文件,银行部分系统最高防护等级为第四级。
前述教育信息化行业人士告诉记者:从这两年分析的结果来看,信息安全,是一个全社会都漠视的问题,需要所有企业、机构去提高重视程度,靠公民提高安全意识,根本没用。
本应该保密的考生个人信息,却可以轻易从互联网上获取。
8月24日,记者在网络上发现了大量出售、收购考生信息资料的QQ群。经过身份验证后,记者加入了其中一个名为考试数据的QQ群。
刚进群不久,群主出售考试名单就主动添加记者为好友。对方个人资料里写着车主、研究生、房地产估价师……等标签,记者询问其是否出售考生资料,对方很快答复:去年研究生考试160万考生数据都有,4000元一个省。今年高考考生数据不多,要的话打包给你,5000元。随即,对方发过来一张截图,上面的文件名分别为湖南全省、重庆、江苏等7省市数十万名的考生信息。记者问为何只有少数几个省市的高考考生数据,对方称渠道不同,数据和数据当然不一样了,今年高考考生的数据难搞了。
同样在这个QQ群内,也充斥着大量求购这类考生数据的买家。一个昵称是求稳定报考数据商的买家,表示只收一手二级建筑师,高考没有钱的,不收。当记者细问为什么没有钱时,对方就不再说话了。另外,一些备注昵称为李老师、王老师等自称招生机构老师的人,还在群内招揽群发短信或者打电话的业务。
在这个QQ群观察两天后发现,这里几乎包含着整个围绕个人隐私信息的收购、出售、提供群发服务的灰*产业链。除了出售、收购个人信息者外,还有不少昵称为短信中心、呼叫中心的群内成员。一个名为短信平台的群成员在群内发布大量发助考广告,联通、电信可以一起发,移动小量发送,需要发广告的朋友赶快联系。
昨天,一个昵称为前奏的网友在群内发布了一条找高手入侵指定网站,长期有单的消息。记者询问对方要入侵哪些网站时,前奏发来了一张2016年考试时间表,并表示今年没考的基本上可以,除了雅思、托福这种考试,银行从业、会计等都可以。对方声称是一家注册过的公司,所收集的这些数据将用于卖助考材料、书籍、培训等,并向记者承诺,如果记者能够拿下银行从业考试的数据,起码五万。当记者询问网上这些考生数据来源时,对方说了一句数据库就匆匆下线了。
北京众安天下负责人、知名白帽子301杨蔚对于考生个人信息安全曾做过专门的研究。他讲诉了这些泄露的数据是如何一步步汇入黑*产业链的。这些信息非常有价值,有人买就有人卖。既然下游有人愿意花钱,那自然就会有黑客去攻击这些目标。黑客非法获取这些信息,拿到数据以后,就会有人接手。这里面还有大量二道贩子的存在,在中间赚差价。杨蔚说,这个链条上的人分工特别明确,而且都是专业级别的团队操作。有些人会专门去联系相关的培训机构或诈骗团伙,从而把手上的数据卖到下游。而下游这些团队,有专人负责诈骗的话术编写培训、线上通过第三方支付平台洗钱、线下ATM机提款等,分工非常明确。
在分析山东女生受骗的这起事件时,杨蔚称徐玉玉的个人信息一般有两种情况可能被诈骗集团掌握。一种是教育机构环节中某个人主动向外售卖,另一种则是黑客从系统中盗取了她的个人信息。不管是哪种方式,这条信息最终都被下游的诈骗团伙拿去利用了。
这些考生的个人信息在地下流通时能获取多大的利润呢?杨蔚表示,地下产业链里的数据跟市面上做代理一样,每个人拿的市场价格不一样,没有一个非常标准的价格。一些未成年的黑客往往对金钱没有概念,最低几百元可能就会卖到中间商手中,然后有一些中间商会以几万元的价格卖到下游。有些职业的黑产团队,拿到一些信息可能会卖到几十万甚至上百万。杨蔚说,有些时候这些信息也可能会按条算钱,例如一名考生信息定价为一分。
有的数据是第一手的,没有人碰过的,价格就会非常高;如果数据已经被利用过很多次,就会变得非常廉价,因为在诈骗团伙看来,经手太多就意味着价值缩水。
在杨蔚看来,一些黑客哪怕只是掌握了这一领域的皮毛,想去攻击一些地方政府机构、教育机构的网站就已经很容易了。
杨蔚发现,近年来针对考生的个人信息安全事件层出不穷,每年都会发生类似的情况。这从侧面说明,教育系统已经成为黑客攻击的目标之一。在杨蔚看来,一方面政府系统、教育机构还有一些公司网站,安全系统非常薄弱,本身就存在很多漏洞,攻击难度低,这样的情况下黑客获取信息会比较容易。另一方面,绝大多数这类网站,没有专人去负责信息安全,甚至在被黑客攻击后也察觉不到。级别越低的单位,因为在信息安全上的投入也相对较低,其安全*就更差,更易被黑客攻击。
