学生被诈骗离世背后的数据贩卖链条：几分钟可黑进教育局网站

　　短短3天之内，接连发生两起学生遭遇电信诈骗，继而发生心脏骤停离世惨剧。舆论在痛斥诈骗分子的同时，也开始关注：学生的信息是如何被精准泄漏的?

　　据沂蒙晚报报道，山东临沂罗庄女孩徐玉玉8月19日接到了一通陌生电话，对方声称有一笔2600元助学金要发放给她。按照对方要求，徐玉玉将准备交学费的9900元打入了骗子提供的账号……让骗子得手的一个关键是，在这通陌生电话之前，徐玉玉曾接到过教育部门发放助学金的通知。这意味着，骗子精准掌握了徐玉玉的多类个人信息。

　　8月25日，一名资深计算机技术人员对澎湃新闻(www.thepaper.cn)表示，徐玉玉的信息有可能是被黑客盗取后，卖给了诈骗人员。据他称，有团队曾试过“侵入”临沂周边多个市县教育局的网站，发现几分钟就可以进入，相关信息可以随意浏览和下载。

　　这名技术人员告诉澎湃新闻，目前黑客盗取个人信息，已形成一个巨大产业链，一部分黑客在黑进某些网站获取信息后，再在一些论坛、社交群中贩卖信息。

　　与之相对应的，网络上的数据贩子则随处可见。

　　据部分数据贩子称，他们手上有全国各地区各行业的各类数据，不只是学生的电话数据，股民的账户数据、机票数据、网络购物数据、新生儿数据等等，他们都可以出售。

　　网络安全专家、猎豹移动安全研究员李铁军(微博)对澎湃新闻(www.thepaper.cn)，其实不是这些黑客的技术有多好，主要是像学校、医院等机构在网络安全防范上投入不够，导致黑客用很简单技术就可以侵入，而这些网站存有大量个人信息。

　　数据贩子猖獗：有人宣称“国内学校，有一半数据我都有”

　　经知情人士指点，澎湃新闻(www.thepaper.cn)记者以“购买数据”、“电话销售”等关键词，通过QQ软件查找，找到一两百个相关的群，这些群销售包括“精确数据购买”、“机票数据”、“淘宝数据”、“保健数据”、“电话数据”、“丰胸减肥数据“、“一手新生儿数据”等等手机号码资源。

　　记者通过QQ加好友方式联系到了几名数据卖家。

　　据几位卖家介绍，他们主要是做电话数据销售，这种数据可以简单分为两类，一类是比较精准的，电话与机主的姓名都有;另一类是比较模糊，仅有电话号码。

　　卖家称，在售的数据类型包括，今年新开的股票账户，这种一般兜售股票资产类的公司会买的比较多;还有像老年人电话数据，可以推销保健品之类的;当然还有像学生类的电话数据，但买这类数据会相对少些。原因是学生本身不太好骗，且经济能力有限。

　　这种数据根据新鲜程度，价格也不一样。

　　根据这几名卖家的报价，100元可以买到2000个电话信息、300元能买10000个电话信息;10万个电话信息卖到1200元，20万个电话信息卖到1800元。

　　卖家新拿到的信息则贵一点。一位卖家称，8月份刚拿到的数据1毛一条。当然，如果是“没有卖过”的纯一手数据，售价可能会高到1-2元。

　　关于售卖数据的范围，有卖家宣称销售的是全国数据，买家可以根据地区来选择。

　　某专业财经媒体的报道还提及，有“业内人士”宣称，“国内学校，有一半数据我都有。即使手头没有的，只要你告诉我名字，我也都能拿到。”

　　以往，购买高中毕业生数据的，多是一些不正规的成人教育或者网络教育学校，但随着生源的减少，这类生意已经熄火。

　　新的买主中，职业骗子占了大多数。

　　谁泄漏了个人隐私信息：教育机构信息安全投入不足

　　关于这些个人隐私数据的来源，绝大多数卖家都不愿透露。

　　有一位卖家称，他们获得电话号码的其中一个来源，是通过财经网站提取的。

　　李铁军解释，这可能是通过一个程序，只要用户登录这个网站，电话号码就会被抓取，但这些电话号码绝大多数不是实名的。

　　前述卖家还透露，其出售的数据的另一个来源是，自己去“开发”。这个所谓“开发”，正是向银行、证券公司、大型门户网站、购物网站等机构里的个人去购买。

　　不过该卖家称，现在这样的渠道越来越难了。

　　除了上述渠道，李铁军告诉澎湃新闻(www.thepaper.cn)记者，黑客正成为泄漏个人信息产业链上最大一环，一部分黑客开始专门倒卖各种数据，一些教育机构、医疗机构的数据往往很容易被盗取，因为这些机构的业务现在与互联网的结合很紧密，但这些机构在国内一直是比较缺钱的部门，而做好信息安全需要比较大的投入，其在选择安全方案上就受限，这还包括后续的投入和维护，所以这些机构面临掌握了大量信息，但安全方面却是做得不够。

　　按教育部、公安部发布的《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》，在全国开展信息系统安全等级定级备案工作。两份通知中，对教育行业建议的最高安全保护等级为第三级(级数越高要求越高)，当然学校可以根据自己需求提升安全保护等级。

　　可资对照的是，银行部分系统的最高防护等级为第四级。

　　“另外一个情况是，这些教育机构网站存在的漏洞并不高深，很容易被入侵“，李铁军表示。

　　上述资深计算机技术人员也表示过，其了解到，一个黑客团队几分钟内绕过某市教育局的网站防火墙进入后台。

　　监管缺位：防范仍只能靠个人

　　那么，问题这么多，监管去哪儿了。

　　关于个人隐私泄漏带来的损失甚至灾难，一位地方经侦警官表示很无奈，他们很理解也很同情受害者，但他们对这类案件也很苦恼，有时候牵涉金额不大，但案件的调查却很复杂，一方面涉及查案侦查地域范围会很广，另一方面一些零碎案件可能要积累到一定时候才一起侦办，对他们来说，精力很有限，不太可能到处去灭火。

　　这名警官认为，如果不从根本上解决问题，很难通过公安、司法机构来减少案件的发生。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!