9月9日��,引起全國(guó)關(guān)注的徐玉玉詐騙案告破����,犯罪嫌疑人被公安機(jī)關(guān)抓獲,據(jù)透露��,犯罪嫌疑人杜某通過(guò)攻擊“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”獲得了考生信息�����,并出售給犯罪嫌疑人陳某實(shí)施詐騙�。
此案中,犯罪嫌疑人“黑入教育系統(tǒng)網(wǎng)站獲取個(gè)人信息”��、“專賣給詐騙集團(tuán)實(shí)施詐騙”這樣的作案流程與方式����,實(shí)際上并非事出無(wú)因,一直以來(lái)���,傳統(tǒng)企事業(yè)單位�����,尤其是教育系統(tǒng)的網(wǎng)絡(luò)信息防護(hù)能力不強(qiáng)��、意識(shí)不足��,使得這些單位網(wǎng)站存在各式漏洞���,成為詐騙集團(tuán)獲取個(gè)人信息的“幫兇”����。
在360補(bǔ)天漏洞應(yīng)急響應(yīng)平臺(tái)上�,我們可以看到最新提交的10個(gè)漏洞中,其中有6個(gè)與高校���、大學(xué)有關(guān)���。而這些網(wǎng)站漏洞,極有可能���,或者已經(jīng)造成了學(xué)生個(gè)人信息的泄漏����,也因此才會(huì)出現(xiàn)類似徐玉玉案中的受害者��。
在補(bǔ)天平臺(tái)最新10個(gè)漏洞中���,6個(gè)與高校大學(xué)有關(guān)
周鴻祎直言電信詐騙信息泄漏真相
周鴻祎在9月8日參加直播節(jié)目聊到“電信詐騙”時(shí)表示���,電信詐騙案中,有一種情況是用戶自己無(wú)法控制的�,就是個(gè)人信息泄漏。山東這次電信詐騙中����,他們知道女孩剛上大學(xué)、需要助學(xué)金�����,一定發(fā)生了信息泄漏���。
類似徐玉玉這種準(zhǔn)大學(xué)生個(gè)人信息泄漏通常有兩種情況�����,一種是服務(wù)于企事業(yè)單位的個(gè)人掌握數(shù)據(jù)����,他們倒賣數(shù)據(jù),屬于內(nèi)賊�。但周鴻祎在節(jié)目中表示不一定是這種單位內(nèi)部人理應(yīng)外盒,可能是第二種情況:“網(wǎng)站信息安全防范不嚴(yán)密�����,網(wǎng)站被壞人控制了”����。
周鴻祎表示,包括高校�、教育系統(tǒng)等企事業(yè)單位在內(nèi)的網(wǎng)站上,有大量的用戶數(shù)據(jù)�,這些數(shù)據(jù)本身的丟失不會(huì)帶來(lái)金錢的損失,但被黑客獲得數(shù)據(jù)之后�,會(huì)明碼標(biāo)價(jià)專賣給行騙集團(tuán),對(duì)于詐騙集團(tuán)來(lái)說(shuō)���,這些數(shù)據(jù)給他們?cè)黾恿宋淦��、如虎添翼����。而這些數(shù)據(jù)泄漏的背后,歸根結(jié)底是這些網(wǎng)站存在漏洞����。
而徐玉玉案件兩組犯罪嫌疑人的作案方式���,恰恰正式周鴻祎指出的這種��。
一方面�,犯罪嫌疑人杜某利用技術(shù)手段攻擊“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”并在網(wǎng)站植入木馬病毒�����,獲取了網(wǎng)站后臺(tái)登錄權(quán)限��,盜取了包括徐玉玉在內(nèi)的大量考生報(bào)名信息����。
另一方面,犯罪嫌疑人陳某通過(guò)QQ搜索“高考數(shù)據(jù)群”�����、“學(xué)生資料數(shù)據(jù)”等聊天群,在群內(nèi)從杜某手中以每條0.5元的價(jià)格購(gòu)買了1800條今年高中畢業(yè)學(xué)生資料��。同時(shí)��,陳某雇傭鄭某�����、黃某等人冒充教育局�����、財(cái)政局工作人員撥打電話��,以發(fā)放助學(xué)金名義對(duì)高考錄取學(xué)生實(shí)施詐騙����。
真相背后:仍有大量教育系統(tǒng)、企事業(yè)單位網(wǎng)站存在安全漏洞
徐玉玉案只是被曝光在公眾面前的詐騙案例之一�,正如周鴻祎節(jié)目中所說(shuō),360旗下漏洞應(yīng)急響應(yīng)平臺(tái)補(bǔ)天平臺(tái)還發(fā)現(xiàn)過(guò)很多企事業(yè)單位網(wǎng)站的漏洞�����,但很多網(wǎng)站并沒(méi)有修補(bǔ)漏洞的意識(shí),而這些網(wǎng)站可能就會(huì)造成大量的個(gè)人信息的泄漏�。
這種漏洞未修補(bǔ),可能有兩種情況�,一種是,對(duì)于普通政府���、企事業(yè)單位來(lái)說(shuō)��,可能并不具備較高的網(wǎng)絡(luò)安全防護(hù)能力���,因此在推出類似“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”的時(shí)候��,可能會(huì)像單位自身網(wǎng)站一樣存在漏洞����,因此最終導(dǎo)致網(wǎng)站系統(tǒng)被黑客攻擊、信息泄漏并造成慘劇����。
另一種是很多單位根本沒(méi)有這種防范意識(shí),周鴻祎透露360補(bǔ)天平臺(tái)發(fā)現(xiàn)過(guò)一些單位的漏洞����,并告知了相關(guān)單位���,但網(wǎng)站根本不重視,甚至認(rèn)為是狗拿耗子����。這些存有大量用戶信息數(shù)據(jù)的網(wǎng)站,以后甚至現(xiàn)在極可能已經(jīng)是個(gè)人信息泄漏的源頭了�。
因此,對(duì)于不斷發(fā)生的電信網(wǎng)絡(luò)詐騙案件來(lái)說(shuō)��,只靠政府公安機(jī)關(guān)一件案子一件案子破���、只靠運(yùn)營(yíng)商實(shí)名制�����,只靠安全廠商軟件如360手機(jī)衛(wèi)士標(biāo)記�、攔截騷擾乃至詐騙電話�,很難避免悲劇再次發(fā)生。
除了公安機(jī)關(guān)嚴(yán)厲打擊���、運(yùn)營(yíng)商從源頭打擊提升犯罪成本外�,正確的方式應(yīng)該是存有用戶數(shù)據(jù)的機(jī)構(gòu)��、單位要提升自己的安全防護(hù)能力,甚至可以與安全廠商之間相互協(xié)作�����,利用安全廠商的專業(yè)能力修補(bǔ)漏洞�����,提升安全性�,共同提升詐騙集團(tuán)的犯罪成本,盡量降低個(gè)人信息泄漏的風(fēng)險(xiǎn)��。
說(shuō)兩句
