日前,福州仓山警方在进行互联网安全防护的日常巡查中,发现福建师范大学网络教育学院网站在互联网信息安全防护方面竟存在着巨大的漏洞,不需身份验证或账号、密码登录就可直接修改、下载该学院8万余名学生的个人信息和学籍卡信息。该学院存在的安全隐患,可能导致不法之徒冒名顶替领取毕业证书或更改学习成绩以及下载转卖个人信息等高危风险。
能被随意修改的学生资料
日前,福州仓山警方在进行互联网安全防护的日常巡查中,发现福建师范大学网络教育学院网站在互联网信息安全防护方面竟存在着巨大的漏洞,不需身份验证或账号、密码登录就可直接修改、下载该学院8万余名学生的个人信息和学籍卡信息。3月24日,仓山警方根据相关法律法规对该学院的违法行为依法采取行政处罚,并责令限期改正。这也是福州市公安机关因互联网信息安全防护问题,对教育系统高校做出的首个行政处罚决定。
不需要身份验证,不需要账号、密码,谁都可以随意修改或下载
近年来,随着互联网技术和通讯技术的不断普及和发展,绝大部分的国家机关,金融系统、教育系统等事业单位以及公司企业都建立了相应的网络服务平台、网站,网络信息安全问题也受到越来越多人的关注和重视。为确保互联网使用的安全性,防止发生通过互联网侵入、窃取、破坏国家机关、企事业单位、社会团体以及公民个人的保密信息、隐私信息,公安机关不断加大巡查管理力度,积极提升网络安全防护能力。日前,仓山警方在例行巡查过程中,就发现福建师范大学的网络教育学院的互联网站存在一个巨大的安全隐患,任何人不需要身份验证,不需要账号、密码,就可以通过该网站随意修改或下载该学院内8万余名学生的个人信息和学籍卡信息。
据巡查的民警介绍,该网站对学生的个人信息和学籍卡信息竟未设置最基础的安全防护措施,所以才导致信息被曝光,甚至还可以被下载或人为的随意修改。这些信息包括学生的姓名、年龄、职业、照片、学籍号、身份证号、家庭住址、联系电话以及部分简历、电子邮箱等内容。这些信息一旦被犯罪分子加以利用,将对社会秩序和学生的合法利益造成不同程度的侵害。
“这只是一个小漏洞,我们叫人完善一下就行了。”
3月24日上午,福州市公安局仓山分局民警来到该网络教育学院,将警方的巡查中发现的高危风险漏洞情况向该学院进行通报,并告知该学院相关主管人员和负责人员将依法实施行政处罚。该学院某负责人在获悉警方通报的情况后,表示该学院的网站系委托北京某网络公司设计并投入使用的。对于警方发现的隐患,该负责人表示“这只是一个小漏洞,我们叫人完善一下就行了。”
当警方郑重告知该网站存在的高危漏洞可能被不法分子用于实施犯罪后,该学院的相关负责人才显得有些紧张,表示愿意配合警方的调查工作。随后,民警对该学院的机房、服务器、数据库等安全防范硬件、软件设施进行了检查,并通知相关人员到派出所制作笔录。
单位信息或公民个人信息被窃取、盗用,可能导致多种犯罪的发生
民警介绍,目前互联网及移动网络的运用范围很广,数据量庞大,若拥有数据库或是使用数据库的单位没有采取相应的防护措施,极容易滋生各类犯罪。最常见的有窃取公司企业的商业信息、生产信息、客户信息;利用被泄露的个人信息实施网络诈骗、电信诈骗或信用卡诈骗等,甚至扰乱金融、电信、医疗等系统的正常工作秩序或通过政府官网发布虚假信息引发社会恐慌等情况。警方之前曾多次接到过因互联网安全防范出现漏洞造成企业财产损失和公民个人信息被盗用的案件。
该学院存在的安全隐患,可能导致不法之徒冒名顶替领取毕业证书或更改学习成绩以及下载转卖个人信息等高危风险。
福州仓山警方出具全市首个关于高校互联网安全的行政处罚决定
由于警方发现处置及时,尚未发现该网络教育学院因网站安全防范漏洞导致案件发生的情况。仓山警方根据《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》的相关规定,依法对该网络教育学院处以责令限期改正给予警告的行政处罚。
依照《计算机信息网络国际联网安全保护管理办法》,互联网单位、接入单位、使用计算机信息网络国际联网的法人和其他组织存在未建立安全保护管理制度的;未采取安全技术保护措施的;未对网络用户进行安全教育和培训的;未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实等情况,公安机关均可依法作出行政处罚。
警方郑重提示广大用网单位和市民:关注互联网信息安全,共创文明和谐安全的互联网秩序,若发现违法犯罪行为或合法利益受到侵害,请及时报警。 (原标题:《福建师大网站漏洞泄露学生信息:8万余学生信息可随意修改下载 》)
特别声明:本文转载仅仅是出于传播信息的需要,并不意味着代表本网站观点或证实其内容的真实性;如其他媒体、网站或个人从本网站转载使用,须保留本网站注明的“来源”,并自负版权等法律责任;作者如果不希望被转载或者联系转载稿费等事宜,请与我们接洽。