没有黑客技术,也能轻松越过访问权限直接下载后台文件,这样的怪事就发生在南海盐步职业技术学校。网站漏洞致使2000多名学生个人隐私泄露,不少家长遭受诈骗困扰,学校回应称因为“遭受黑客入侵”。 打开网上文档 便知学生秘密 近日有读者向羊城晚报爆料,称盐步职业技术学校(下称盐步技校)学生信息遭到泄露,许多家长接到诈骗电话。 8日,记者登录盐步技校官方网站发现,除了官网外,该校还开发了独立运行的教学管理系统,在其网址http://jdyd.nhedu.net后加上文档的英文字母“files/”,页面便成功跳转至目录列表。 在里边,有3551份电子文件,均以“字母”加“数字”的方式进行命名。记者不需要输入账号跟密码,便可任意下载。这些电子文件涉及学校教学的方方面面,包括老师公开课教案、学生申请搭餐人数统计表、实习老师值班安排表等等。 上述资料似乎无关痛痒,但记者很快发现,泄露文档中有多份学生实习名单、助学金申请表、技能大赛报名表,包含了学生的真实姓名、身份证编号、照片、联系方式等个人信息。记者甚至找到了三份“(2013年)11月19日走读生吸食违禁品事件记录”,这是三名未成年学生在厕所吸“K粉”的口述报告。 令人瞠目结舌的是,记者下载编号为“cjq250675”的Excle文件表后,发现这是盐步职业技术学院全校学生的花名册,学生身份证、姓名、家庭详细住址、监护人姓名及手机号码等内容历历在目,涉及该校从2010年秋季入学至今的2640名学生完整信息。 骗子窃取信息 家长差点被骗 记者根据花名册的信息,按照“城市户口”、“农村户口”“非佛山地区”等类别,分别拨打给5位家长,有两位家长反映接到过关于小孩的诈骗电话。 在外地工作的家长梁女士告诉记者,不久前有位女骗子来电自称是盐步技校的老师,说她儿子出现了严重车祸,被送往医院抢救,学校垫付医疗费后还不够,让她马上汇钱到指定账号去。 “那骗子知道我们很多信息,我不得不就信了。”梁女士回忆说,她当时心头一惊,赶紧打儿子手机,却怎么也打不通,心急如焚。后来辗转联系上了,才发现不过是一场骗局,“幸亏没有让骗子得逞”。 一位不愿意透露姓名的家长告诉记者,许多家长都接到诈骗电话,有的还不止接到一两个,“学生个人隐私被泄露至少有一年时间了,学校并没有公开对全体家长进行答复处理。” 半年前被“黑” 漏洞如今仍在? 在网址上添加文档的英文名“files”,便能直接访问后台文件,这到底是巧合还是普遍现象? 据不完全统计,佛山地区至少还有两所技校开发了独立的教学管理系统网站,分别是顺德职业技术学院和广东纺织职业技术学院。当记者尝试用上述手法进行访问时,浏览器提示“指向错误”,并没有出现可供下载的文件。 有业内人士告诉记者,之所以可以直接访问后台文件,是因为设计网页配置服务器信息时,允许用户进行“目录浏览”,没有设置权限拦截,“这是非常低级的漏洞”。 昨日中午,盐步技校办公室杨主任向记者坦言,今年6月份确实有家长投诉学生个人信息泄露,但她对“低级漏洞”给予了否定,“这是被黑客入侵的结果”。 据杨主任介绍,盐步教学管理系统是内部网络,并不对外公开。接到反映后,学校进行了调查,发现是校内某电脑遭受了黑客入侵,导致后台信息泄露。学校已将事件上报给有关部门,并处理了中毒电脑。 那为何“漏洞”时隔半年重新出现呢?杨主任坦言不清楚此事,但她承诺“学校会进一步关注,并处理好这件事情”。 截至昨日下午5时许,记者已无法从外部登陆盐步教学管理系统网站。
