9月9日，引起全國關(guān)注的徐玉玉詐騙案告破，犯罪嫌疑人被公安機(jī)關(guān)抓獲，據(jù)透露，犯罪嫌疑人杜某通過攻擊“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”獲得了考生信息，并出售給犯罪嫌疑人陳某實(shí)施詐騙。

此案中，犯罪嫌疑人“黑入教育系統(tǒng)網(wǎng)站獲取個(gè)人信息”、“專賣給詐騙集團(tuán)實(shí)施詐騙”這樣的作案流程與方式，實(shí)際上并非事出無因，一直以來，傳統(tǒng)企事業(yè)單位，尤其是教育系統(tǒng)的網(wǎng)絡(luò)信息防護(hù)能力不強(qiáng)、意識(shí)不足，使得這些單位網(wǎng)站存在各式漏洞，成為詐騙集團(tuán)獲取個(gè)人信息的“幫兇”。

在360補(bǔ)天漏洞應(yīng)急響應(yīng)平臺(tái)上，我們可以看到最新提交的10個(gè)漏洞中，其中有6個(gè)與高校、大學(xué)有關(guān)。而這些網(wǎng)站漏洞，極有可能，或者已經(jīng)造成了學(xué)生個(gè)人信息的泄漏，也因此才會(huì)出現(xiàn)類似徐玉玉案中的受害者。
 

周鴻祎直言電信詐騙信息泄漏真相

周鴻祎在9月8日參加直播節(jié)目聊到“電信詐騙”時(shí)表示，電信詐騙案中，有一種情況是用戶自己無法控制的，就是個(gè)人信息泄漏。山東這次電信詐騙中，他們知道女孩剛上大學(xué)、需要助學(xué)金，一定發(fā)生了信息泄漏。

類似徐玉玉這種準(zhǔn)大學(xué)生個(gè)人信息泄漏通常有兩種情況，一種是服務(wù)于企事業(yè)單位的個(gè)人掌握數(shù)據(jù)，他們倒賣數(shù)據(jù)，屬于內(nèi)賊。但周鴻祎在節(jié)目中表示不一定是這種單位內(nèi)部人理應(yīng)外盒，可能是第二種情況：“網(wǎng)站信息安全防范不嚴(yán)密，網(wǎng)站被壞人控制了”。

周鴻祎表示，包括高校、教育系統(tǒng)等企事業(yè)單位在內(nèi)的網(wǎng)站上，有大量的用戶數(shù)據(jù)，這些數(shù)據(jù)本身的丟失不會(huì)帶來金錢的損失，但被黑客獲得數(shù)據(jù)之后，會(huì)明碼標(biāo)價(jià)專賣給行騙集團(tuán)，對(duì)于詐騙集團(tuán)來說，這些數(shù)據(jù)給他們?cè)黾恿宋淦鳌⑷缁⑻硪?。而這些數(shù)據(jù)泄漏的背后，歸根結(jié)底是這些網(wǎng)站存在漏洞。

而徐玉玉案件兩組犯罪嫌疑人的作案方式，恰恰正式周鴻祎指出的這種。

一方面，犯罪嫌疑人杜某利用技術(shù)手段攻擊 “山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”并在網(wǎng)站植入木馬病毒，獲取了網(wǎng)站后臺(tái)登錄權(quán)限，盜取了包括徐玉玉在內(nèi)的大量考生報(bào)名信息。

另一方面，犯罪嫌疑人陳某通過QQ搜索“高考數(shù)據(jù)群”、“學(xué)生資料數(shù)據(jù)”等聊天群，在群內(nèi)從杜某手中以每條0.5元的價(jià)格購買了1800條今年高中畢業(yè)學(xué)生資料。同時(shí)，陳某雇傭鄭某、黃某等人冒充教育局、財(cái)政局工作人員撥打電話，以發(fā)放助學(xué)金名義對(duì)高考錄取學(xué)生實(shí)施詐騙。

真相背后：仍有大量教育系統(tǒng)、企事業(yè)單位網(wǎng)站存在安全漏洞

徐玉玉案只是被曝光在公眾面前的詐騙案例之一，正如周鴻祎節(jié)目中所說，360旗下漏洞應(yīng)急響應(yīng)平臺(tái)補(bǔ)天平臺(tái)還發(fā)現(xiàn)過很多企事業(yè)單位網(wǎng)站的漏洞，但很多網(wǎng)站并沒有修補(bǔ)漏洞的意識(shí)，而這些網(wǎng)站可能就會(huì)造成大量的個(gè)人信息的泄漏。

這種漏洞未修補(bǔ)，可能有兩種情況，一種是，對(duì)于普通政府、企事業(yè)單位來說，可能并不具備較高的網(wǎng)絡(luò)安全防護(hù)能力，因此在推出類似“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”的時(shí)候，可能會(huì)像單位自身網(wǎng)站一樣存在漏洞，因此最終導(dǎo)致網(wǎng)站系統(tǒng)被黑客攻擊、信息泄漏并造成慘劇。

另一種是很多單位根本沒有這種防范意識(shí)，周鴻祎透露360補(bǔ)天平臺(tái)發(fā)現(xiàn)過一些單位的漏洞，并告知了相關(guān)單位，但網(wǎng)站根本不重視，甚至認(rèn)為是狗拿耗子。這些存有大量用戶信息數(shù)據(jù)的網(wǎng)站，以后甚至現(xiàn)在極可能已經(jīng)是個(gè)人信息泄漏的源頭了。

因此，對(duì)于不斷發(fā)生的電信網(wǎng)絡(luò)詐騙案件來說，只靠政府公安機(jī)關(guān)一件案子一件案子破、只靠運(yùn)營商實(shí)名制，只靠安全廠商軟件如360手機(jī)衛(wèi)士標(biāo)記、攔截騷擾乃至詐騙電話，很難避免悲劇再次發(fā)生。

除了公安機(jī)關(guān)嚴(yán)厲打擊、運(yùn)營商從源頭打擊提升犯罪成本外，正確的方式應(yīng)該是存有用戶數(shù)據(jù)的機(jī)構(gòu)、單位要提升自己的安全防護(hù)能力，甚至可以與安全廠商之間相互協(xié)作，利用安全廠商的專業(yè)能力修補(bǔ)漏洞，提升安全性，共同提升詐騙集團(tuán)的犯罪成本，盡量降低個(gè)人信息泄漏的風(fēng)險(xiǎn)。