各大高校网站现千余漏洞 教育部进补丁平台

▲上述漏洞涉及清华大学、浙江大学、同济大学、厦门大学等著名大学，以及部分职业教育院校。几乎所有类型的学院和大学都是“成功的”。制图/肖霄

法制晚报讯(记者范新闻观察记者陈涵)校园一卡通和校园网现在在高校中比较普遍。老师和学生可以在学校网站上吃饭、选择课程、检查成绩、申请助学金等等。因此，大学网站上有大量的学生个人信息。

然而，《法制晚报》的一名记者最近发现，数百所高校存在来自中国最大的网站漏洞应对平台——帕蒂安漏洞应对平台的漏洞。这些被认为是安全的信息有被泄露的危险。

近日，教育部在该平台上注册，希望利用民间“白帽子”黑客的力量，发现漏洞，避免信息泄露。

学生遭遇“精准销售”涉嫌信息泄露

大一新生吕霄最近收到了一些来自培训学校的短信，宣传研究生入学考试课程。垃圾短信并不奇怪，但吕霄想知道一些学校清楚地知道他在高三，他在学什么专业，甚至清楚地知道他的英语成绩很差。"我以前参加过一个英语班，会不会被泄露出去？"吕霄觉得很奇怪。

吕霄的同学收到一条短信，这使他怀疑信息泄露的来源。

吕霄告诉记者，这名学生在过去的三年中“暂停了学业”,他的高年级面临期末考试。这位同学收到的短信说，对方是一个“黑客”，可以进入学校的教务系统修改自己的分数，所以只要他花钱，就不用担心挂线。吕霄和其他学生没有收到同样的短信，他们没有“暂停学业”的问题

结果，吕霄觉得一定有人“入侵”了教育管理系统，看到了这些“需求”信息。吕霄告诉记者，他们不相信黑客可以通过改变分数成功毕业，但他们怀疑自己的个人信息可能被“黑客”了。

记者随机询问了20多名大学生，几乎所有人都表示，他们从大学一年级开始就遇到过关于大学英语四级和六级、研究生入学考试、商品销售等方面的垃圾邮件。一些毕业生说他们会在毕业一年后收到诸如研究生入学考试培训之类的信息，但在那之后他们就没有收到了。

面对如此精确的“营销”，大多数人不确定他们的信息是如何泄露的。

你可以找到访问成千上万学生的学分。

据《法国晚报》10月24日在补天平台上报道，一顶“白帽子”(识别计算机系统或网络系统中的安全漏洞，但不恶意利用它们，而是揭露它们的人)表明北京师范大学的系统存在漏洞。如果随便找到一个学生号码，就可以查询成千上万的学生和教师的信息。

天空漏洞应对平台的专家向《法制晚报》记者展示，通过漏洞，黑客可以找到姓名、学生编号、系别、原名、电话号码、身份信息、各学科学分、邮箱等。学校里成千上万的老师和学生，甚至2006年入学的学生的信息都可以被“挖掘出来”整理这些信息是一份“精确的客户名单”。例如，在艺术与传媒学院舞蹈专业在职研究生王某的信息中，可以找到2014年至2015年春季学期的编舞技巧和舞蹈艺术结构等各种学科的分数。

此外，专家发现，通过漏洞，“黑客”还可能掌握学校的信息平台，直接利用学校的短信平台向特定的师生或员工发送短信。

该平台的安全专家告诉记者，学校的脆弱性水平相对较低。黑客不仅可以查看教师和学生的个人信息，还可以“窃取”所有的数据库信息，将这些信息留给“黑客”行业。你甚至可以越权输入或修改学生的成绩。

因此，吕霄和他的同学收到的修改分数的短信并非“毫无根据”

据说密码太“低级”，平台不专业。

很多学校都有漏洞，漏洞五花八门。对于安全专家来说，一些漏洞是低级的“荒谬”

记者看到一所学校的网站管理员直接将密码设置为12356，这是一个几乎连续的数字。对于黑客来说，破解密码太简单了。

对此，360攻防实验室负责人林伟表示，简单的密码设置并没有很强的安全感，造成这种情况的原因有很多。

他告诉记者，一般来说，高校除了官方网站之外，还有部门网站，甚至是职能部门网站。但是许多网站不是由安全工程师建造的。一些有相关专业的学院和大学，甚至那些由学生直接建造的。他们缺乏操作经验，导致安全风险缺乏可预测性，容易出现设计缺陷。虽然一些具有网络安全相关专业的高校也可以在学生的参与下建设，但由于他们的技术能力强，漏洞很少。

一些学校也有快速移动的网站安全人员。几年后，新的管理人员不知道谁是建筑商，许多建筑信息和漏洞信息也不知道。

进展:教育部进入补丁平台以缩短修复周期

记者了解到，教育部高度重视高校信息安全工作。年初，教育部提出了《*部直属高校信息技术安全工作指导意见》，与*部联合部署系统安全等级保护工作，建立部署单位网络安全通报机制。

事实上，许多“白帽子”在发现漏洞后无法与教育部直接沟通。为此，他们将向相应的平台提供漏洞信息，以填充天空漏洞和中国漏洞数据库，然后联系平台和教育当局或大学。最近，教育部注册了“补天”。白帽提交漏洞信息后，平台可以尽快通知教育部。因此，从发现到审计和提交漏洞的时间大大缩短了。

“大学网站的修复时间从几周甚至几个月缩短到了1到3天，一些漏洞在被发现的当天就被修复了。”补天平台负责人介绍。

他认为，教育部在“补天”注册后发挥了主导作用。数十所大学也蜂拥注册。24日，一所大学被发现有漏洞，补天平台被及时推出。当天确认，第二天修复，最大限度避免信息泄露。

文/记者范新闻观察站陈涵(原名:学生证能查数万师生信息教育部已在天府平台数据展示安全平台上做好防泄密工作——高校网站每年泄密2868次)