首页>安全资讯>“徐玉玉”案信息泄露源头曝光,因山东高考报名系统被攻破

“徐玉玉”案信息泄露源头曝光,因山东高考报名系统被攻破

9月9日公安部公布徐玉玉案诈骗细节,嫌疑人通过攻击山东省2016高考网上报名信息系统,盗取了包括徐玉玉在内的大量考生报名信息。

“徐玉玉”案诈骗实施细节曝光

8月19日,山东省临沂市高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员诈骗9900元,并导致徐玉玉死亡。徐玉玉案发生后,“信息是如何泄露的”成为民众关注的焦点问题之一。记者昨天从公安部获悉,案发后,公安机关经全力工作,查明了电信网络诈骗团伙情况和信息泄露源头。

经查,犯罪嫌疑人杜某利用技术手段攻击了“山东省2016高考网上报名信息系统”并在网站植入木马病毒,获取了网站后台登录权限,盗取了包括徐玉玉在内的大量考生报名信息。

7月初,犯罪嫌疑人陈某在江西省九江市租住房屋设立诈骗窝点,通过QQ搜索“高考数据群”、“学生资料数据”等聊天群,在群内发布个人信息购买需求后,从杜某手中以每条0.5元的价格购买了1800条今年高中毕业学生资料。

同时,陈某雇佣郑某、黄某等人冒充教育局、财政局工作人员拨打电话,以发放助学金名义对高考录取学生实施诈骗。

8月19日16时许,该团伙诈骗徐玉玉9900元,在徐玉玉向嫌疑人冒用他人身份证开设的银行卡账户汇款6分钟后,陈某即操控在福建泉州的犯罪嫌疑人郑某某组织熊某、陈某某等人在泉州市一银行ATM机上取走赃款。

公安机关进一步查明,犯罪嫌疑人彭某通过网络多次向陈某犯罪团伙售卖非实名手机卡,供犯罪团伙作案使用。

目前,以上8名犯罪嫌疑人均已被抓获。

政务、教育类信息系统,个人隐私信息泄露的源头

在徐玉玉案中,信息泄露的源头在于犯罪嫌疑人攻破了山东省高考网上报名信息系统。这暴露了一些网络信息系统存在什么问题?针对这些“漏洞”又要如何补救?

中国信息安全研究院副院长左晓栋表示,建一个系统、开发一个应用,应该同步部署安全设施。“但实际上很多机构做不到,存在重建设轻安全、重发展轻管理的问题。”

从公安部通报的情况来看,山东高考报名信息系统被嫌犯攻破后盗取了信息。左晓栋称,从技术方面来说,网站的软硬件方面漏洞是广泛存在的,关键是要及时做风险评估、打补丁等;此外,除了技术有问题,管理方面的原因也脱不了干系。

对于如何补救漏洞,左晓栋认为,对于维护网络系统安全,目前已有不少相关法规、标准和一般操作规范,但问题关键还是网络安全责任落实不到位,“一般来讲,出了安全生产事故,追责是比较明确的。但是在网络安全领域,出了问题要怎么承担责任?目前还不明确。”

一位在互联网企业从事网络安全的专业人士表示,在“互联网+”时代,“互联网+犯罪”已经远远走在了前列,这是一个世界性问题。普遍来说,国内大多数政府网站、企业网站都不是自己开发的,在安全防护方面本身就存在一些漏洞。另外,在安全防护不单是技术能力问题,更重要的是安全意识问题。开发完成后,网站的安全运维是非常关键的。

该人士表示,此前其所在企业曾为一些政府网站提供技术保护,检测了不同系统存在的漏洞。经分析,核心有三个层面原因:一个是主机系统层面,操作系统存在漏洞,这是信息泄露的一个源头;第二是业务应用层面,网站页面传输数据未HTTPS加密、后台数据库不安全;第三是账号风控层面,容易被“黑客”入侵或者内鬼泄露。

关于对电信网络诈骗“堵漏”,无论政府、企业还是个人,首先要提高安全防范意识;其次,要用先进的技术武装到牙齿。

来源:新京报

相关阅读:

2010至2016年,北京个人信息泄露超过1.6亿

数据显示,北京近6年,有1.6亿多条公民个人信息被泄露。掌握这些信息资源的快递、网购、物业、教育等机构甚至还有公安机关个别人是信息泄露的源头,而保健品、保险、理财、房地产中介等行业以及职业倒卖人员是这些信息的主要购买者。

深圳数千孕妇信息泄露 明码标价被多次倒卖

近日,深圳上千名孕产妇产检信息被泄露一事引起了网民关注。据悉,过去半年至少有上千名曾在深圳市妇幼保健院做过产检或分娩的女性,接到过母婴护理(俗称月嫂)或婴儿纪念品等公司的骚扰电话或是短信。

大量医疗数据被倒卖,谁该为数据泄露担责

医疗行业正经历一个非常严峻的安全时代:威胁越来越高级,安全技能却没能同步进化,安全方面的预算严重不足,医疗设备很难管理,传统系统亟待更新,被攻击的

多家快递官网漏洞 泄露1400万用户信息

多家快递网站因存在漏洞遭黑客入侵,有1400万条个人信息在网络上被层层转卖。... 继酒店业、电商网站等因网站漏洞个人信息遭泄露后,快递企业网站再曝漏洞。昨日,有消...

广东省就业信息网设计缺陷 可致150万毕业生信息泄露

乌云漏洞平台显示:广东省就业信息网存设计缺陷与逻辑错误,加上敏感接口缺乏基本保护,可致150万毕业生信息数据泄露。

个人用户信息安全解决方案

个人信息安全的唯一可靠的解决方案是使用单位数字证书来登录需要用户名/密码验证的...把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。...