臨沂女孩被騙離世背后：大中小學數據倒賣現象嚴重

　　本報記者 陳寶亮 北京報道

　　導讀

　　臨沂女孩遭遇電信詐騙的背后，是教育行業信息安全存在巨大漏洞。

　　8月19日，剛剛被南京郵電大學錄取的山東臨沂女孩徐玉玉遭遇電信詐騙，9900元學費被騙走。導致徐玉玉被騙的直接原因，系其聯系方式以及領取教育助學金的信息被泄露。

　　根據《沂蒙晚報》報道，8月18日，被騙前一天，徐玉玉接到了來自真實教育部門的助學金電話通知。詐騙嫌疑人則以“領取助學金”為由，輕易博取了徐玉玉的信任，并騙取了全家省吃儉用大半年節省下來的9900元學費。

　　19日晚，徐玉玉及其家人前往派出所報案，在回家的路上，徐玉玉突然暈厥，雖經醫院歷經兩日的全力搶救，但仍沒能挽回她18歲的生命。該事件已經引起廣泛關注。截至目前，微信公眾平臺上討論此事的文章約4400篇，人民網微博客戶端相關微博下，已經有超過2萬條評論。

　　23日晚，臨沂公安微博發布“開學在即 謹防以助學金為名的詐騙方式”的警示內容，同時，臨沂警方成立專案組調查此案件。

　　需要警惕的是，根據教育部公布信息，國家助學金覆蓋了全國20%的本專科生。根據國家統計局信息，2015年，全國普通本專科招生737.8萬人，在校生2625.3萬人，按此比例計算，今年剛剛入學、領取助學金的大一新生約150萬人，而在校領取助學金的大學生約500萬人。他們，都有可能因為助學金信息泄露面臨詐騙風險。

　　目前，并不清楚助學金信息的泄露原因。南京郵電大學已經與警方聯系，并稱“未聯系過發放助學金事宜”。知情人士介紹，“助學金從申請到發放存在多個環節，每個環節都可能泄露信息。”根據要求，助學金申請信息包含姓名、身份證信息、聯系方式、住址等26項內容。

　　倒賣學生數據成風

　　由于普遍不具備經濟能力，且資金不充裕，學生群體并非電信詐騙的重災區。但這并非意味著學生群體安全系數高。事實上，在記者接觸的多類群體中，學生信息堪稱“最沒有安全保障”的一類。

　　近日，記者接觸到數個倒賣用戶數據的業內人士，其中3人告訴記者：“只要你聽說過的學校，不論大學、中學、小學，（它們的數據）都有。”

　　其中一位人士向記者展示的上海某知名大學數據，包含了學生姓名、學號、性別、年齡、身高、體重、聯系方式、專業等詳盡信息。此外，該人士表示可以拿到“全國中小學生學籍信息管理系統”，包括學籍號、學校、入學方式、住址、家庭成員等等。該人士表示， “國內學校，有一半數據我都有。即使手頭沒有的，只要你告訴我名字，我也都能拿到。”

　　全國中小學生學籍信息管理系統，是由教育部在2012年開始實施上線的系統，旨在對全國范圍內的學生注冊、學生信息維護、畢業升級、學籍異動實施信息化管理，全國超過1.4億名中小學信息存儲在該系統上。

　　根據多位人士報價，“新鮮出爐”、“沒有賣過”的一手學生數據，售價約1-2元/條，大量采購還有優惠。而二手的數據，基本低于1毛，如果批量購買，1萬條二手數據約300-500元。在整個數據黑色產業領域，學生數據售價偏低，相比之下，一些從淘寶、京東、唯品會等電商平臺流出的一手數據，售價在3-5元以上，高峰期售價一度達到20-30元/條。除此之外，在數據黑產中，電商、銀行、股市、車輛交易等數據應有盡有。在上述業內人士看來， “買數據的，都是拿來騙人的，學生基本騙不到錢，數據賣不上價，鄉鎮之類學校的數據都賣不出去。”

　　10年前，學生數據要比現在值錢。一位北京某學校教師告訴記者：“倒賣生源數據的漏洞長期存在。很多民辦大學會借合法專業的名義搞非法成教、網教來招生。每年高考之后，他們就從各省買考生數據，當時一個省考生數據售價幾十萬元。每年賣出十多萬的名單。”

　　對于開設成教、網教教育的學校而言，“高分學生數據不值錢，都是白送，分數低的才值錢。拿到數據之后，學校安排話務組開始打電話，幾天就能招50-60人。”該教師告訴記者：“有的學校每年因此盈利上億元，2006年左右，吃這碗飯的人粗略估計有20多萬。”

　　“學校、教師、教育局、招生辦，能拿到學生數據的部門太多了，很多人都可能成為泄露數據的源頭。不光賣學生數據，學校教師的數據也都被賣出去了，老師天天都接好多推銷電話”，該人士回憶稱：“2008年之后，主管部門發文明確倒賣生源數據是違法行為，但也沒有控制住。后來，因為生源減少，公立專業都招不滿，民辦的招不到生源，這個生意才淡下來。”

　　幾分鐘攻破學校漏洞

　　行業內市場衰落，行業外的電信詐騙、廣告推銷市場則開始興起，而大量的學生數據流入黑色產業。

　　“數據流入黑產的途徑有三種，”數據庫安全企業安華金和的安全專家告訴記者，“一種是接觸到數據的工作人員泄露數據，一種是黑客入侵目標獲取數據，還有一種是第三方IT系統服務公司在提供服務時獲取數據并泄露。”

　　一位教育信息化資深人士告訴記者：“學生數據存放在很多地方，學校、招生辦、教育機構等等。目前中小學數據教育部會提供統一平臺，但大學數據，則存儲在各個大學自己手中。”數據存儲渠道的多樣，增加了接觸數據人員的數量，也無限放大了內部人員泄密的風險。

　　另一方面，多位來自信息安全領域的權威人士告訴21世紀經濟報道記者：“教育行業的信息安全能力普遍極低。”在360旗下補天漏洞平臺上，最近兩年內提交的相關教育機構的漏洞超過1100條，“實際上遠比這多，主要是教育機構漏洞太多，白帽子都懶得去測試，因為沒有成就感。隨便一個入門的黑客，都能搞定絕大多數學校系統，幾乎不耗時間，甚至只需要敲幾下回車就可以。”

　　一位信息安全資深人士對某部委直屬大學做了測試，僅用幾分鐘即發現了該大學的漏洞，目前該大學已經修復該漏洞。需要指出，根據補天漏洞平臺信息，該平臺上最近兩年內提交的清華大學、北京大學也均在50個左右。此外，近年來，因為“套號學歷”、“學歷造假”等事件，教育部指定的學歷查詢唯一網站學信網被屢次質疑，不過，教育部多次回應中強調“學信網安全”、“沒有漏洞”。

　　2014年、2015年，教育部與公安部先后聯合印發《教育行業信息系統安全等級保護定級工作指南（試行）》、《教育部 公安部關于全面推進教育行業信息安全等級保護工作的通知》，在全國開展信息系統安全等級定級備案工作。兩份通知中，學生的學籍、學位等信息管理系統大多列入第三級等級保護。教育行業最高安全保護等級為第三級。

　　根據相關要求，私密級、絕密級、機密級信息系統的安全防護水平分別不低于第三級、第四級、第五級。根據人民銀行發布文件，銀行部分系統最高防護等級為第四級。

　　前述教育信息化行業人士告訴記者： “從這兩年分析的結果來看，信息安全，是一個全社會都漠視的問題，需要所有企業、機構去提高重視程度，靠公民提高安全意識，根本沒用。”