學生被詐騙離世背后的數據販賣鏈條：幾分鐘可黑進教育局網站

PARADISEBIRD

　　短短3天之內，接連發(fā)生兩起學生遭遇電信詐騙，繼而發(fā)生心臟驟停離世慘劇。輿論在痛斥詐騙分子的同時，也開始關注：學生的信息是如何被精準泄漏的？

　　據沂蒙晚報報道，山東臨沂羅莊女孩徐玉玉8月19日接到了一通陌生電話，對方聲稱有一筆2600元助學金要發(fā)放給她。按照對方要求，徐玉玉將準備交學費的9900元打入了騙子提供的賬號……讓騙子得手的一個關鍵是，在這通陌生電話之前，徐玉玉曾接到過教育部門發(fā)放助學金的通知。這意味著，騙子精準掌握了徐玉玉的多類個人信息。

父親徐連彬無法接受女兒已逝，痛哭不已

　　8月25日，一名資深計算機技術人員表示，徐玉玉的信息有可能是被黑客盜取后，賣給了詐騙人員。據他稱，有團隊曾試過“侵入”臨沂周邊多個市縣教育局的網站，發(fā)現幾分鐘就可以進入，相關信息可以隨意瀏覽和下載。

　　這名技術人員表示，目前黑客盜取個人信息，已形成一個巨大產業(yè)鏈，一部分黑客在黑進某些網站獲取信息后，再在一些論壇、社交群中販賣信息。

　　與之相對應的，網絡上的數據販子則隨處可見。

　　據部分數據販子稱，他們手上有全國各地區(qū)各行業(yè)的各類數據，不只是學生的電話數據，股民的賬戶數據、機票數據、網絡購物數據、新生兒數據等等，他們都可以出售。

　　網絡安全專家、獵豹移動安全研究員李鐵軍表示，其實不是這些黑客的技術有多好，主要是像學校、醫(yī)院等機構在網絡安全防范上投入不夠，導致黑客用很簡單技術就可以侵入，而這些網站存有大量個人信息。

“國內學校，有一半數據我都有”

　　經知情人士指點，澎湃新聞記者以“購買數據”、“電話銷售”等關鍵詞，通過QQ軟件查找，找到一兩百個相關的群，這些群銷售包括“精確數據購買”、“機票數據”、“淘寶數據”、“保健數據”、“電話數據”、“豐胸減肥數據“、“一手新生兒數據”等等手機號碼資源。

相關QQ群比比皆是

　　記者通過QQ加好友方式聯(lián)系到了幾名數據賣家。

　　據幾位賣家介紹，他們主要是做電話數據銷售，這種數據可以簡單分為兩類，一類是比較精準的，電話與機主的姓名都有；另一類是比較模糊，僅有電話號碼。

　　賣家稱，在售的數據類型包括，今年新開的股票賬戶，這種一般兜售股票資產類的公司會買的比較多；還有像老年人電話數據，可以推銷保健品之類的；當然還有像學生類的電話數據，但買這類數據會相對少些。原因是學生本身不太好騙，且經濟能力有限。

　　這種數據根據新鮮程度，價格也不一樣。

　　根據這幾名賣家的報價，100元可以買到2000個電話信息、300元能買10000個電話信息；10萬個電話信息賣到1200元，20萬個電話信息賣到1800元。

　　賣家新拿到的信息則貴一點。一位賣家稱，8月份剛拿到的數據1毛一條。當然，如果是“沒有賣過”的純一手數據，售價可能會高到1-2元。

　　關于售賣數據的范圍，有賣家宣稱銷售的是全國數據，買家可以根據地區(qū)來選擇。

　　某專業(yè)財經媒體的報道還提及，有“業(yè)內人士”宣稱，“國內學校，有一半數據我都有。即使手頭沒有的，只要你告訴我名字，我也都能拿到�！�

　　以往，購買高中畢業(yè)生數據的，多是一些不正規(guī)的成人教育或者網絡教育學校，但隨著生源的減少，這類生意已經熄火。

新的買主中，職業(yè)騙子占了大多數。

教育機構信息安全投入不足

　　關于這些個人隱私數據的來源，絕大多數賣家都不愿透露。

　　有一位賣家稱，他們獲得電話號碼的其中一個來源，是通過財經網站提取的。

　　李鐵軍解釋，這可能是通過一個程序，只要用戶登錄這個網站，電話號碼就會被抓取，但這些電話號碼絕大多數不是實名的。

前述賣家還透露，其出售的數據的另一個來源是，自己去“開發(fā)”。這個所謂“開發(fā)”，正是向銀行、證券公司、大型門戶網站、購物網站等機構里的個人去購買。

　　不過該賣家稱，現在這樣的渠道越來越難了。

　　除了上述渠道，李鐵軍表示，黑客正成為泄漏個人信息產業(yè)鏈上最大一環(huán)，一部分黑客開始專門倒賣各種數據，一些教育機構、醫(yī)療機構的數據往往很容易被盜取，因為這些機構的業(yè)務現在與互聯(lián)網的結合很緊密，但這些機構在國內一直是比較缺錢的部門，而做好信息安全需要比較大的投入，其在選擇安全方案上就受限，這還包括后續(xù)的投入和維護，所以這些機構面臨掌握了大量信息，但安全方面卻是做得不夠。

　　按教育部、公安部發(fā)布的《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）》、《教育部 公安部關于全面推進教育行業(yè)信息安全等級保護工作的通知》，在全國開展信息系統(tǒng)安全等級定級備案工作。兩份通知中，對教育行業(yè)建議的最高安全保護等級為第三級（級數越高要求越高），當然學�？梢愿鶕�自己需求提升安全保護等級。

　　可資對照的是，銀行部分系統(tǒng)的最高防護等級為第四級。

“另外一個情況是，這些教育機構網站存在的漏洞并不高深，很容易被入侵“，李鐵軍表示。

　　上述資深計算機技術人員也表示過，其了解到，一個黑客團隊幾分鐘內繞過某市教育局的網站防火墻進入后臺。

監(jiān)管缺位：防范仍只能靠個人

　　那么，問題這么多，監(jiān)管去哪兒了。

　　關于個人隱私泄漏帶來的損失甚至災難，一位地方經偵警官表示很無奈，他們很理解也很同情受害者，但他們對這類案件也很苦惱，有時候牽涉金額不大，但案件的調查卻很復雜，一方面涉及查案偵查地域范圍會很廣，另一方面一些零碎案件可能要積累到一定時候才一起偵辦，對他們來說，精力很有限，不太可能到處去滅火。

　　這名警官認為，如果不從根本上解決問題，很難通過公安、司法機構來減少案件的發(fā)生。

　　據光明網報道，北京市公安局網絡安全保衛(wèi)總隊與360互聯(lián)網安全中心聯(lián)合發(fā)起成立的網絡詐騙全民舉報平臺——獵網平臺于去年底發(fā)布的《現代網絡詐騙產業(yè)鏈分析報告》初步統(tǒng)計，在中國，從事網絡詐騙產業(yè)的人數至少有160萬人，“年產值”超過1100億元。

　　李鐵軍直言，現在中國個人信息泄漏正面臨失控的危險，每個人都不安全，但這個系統(tǒng)的改善需要花的時間會非常長，包括國家相關法律法規(guī)的出臺、司法機關辦案能力是否跟的上、還有管理數據機構能力是否能提升等等，這中間需要花的時間和代價都會很大。

　　光明網在一篇評論中直言，騙子之所以得手，其“成功”之處遠不止于電信主管部門和電信運營商對“騙子專用號段”公然存在的無睹和無視，其他掌握公民個人信息的部門和機構、以及負責審核（騙子開卡）客戶信息的相關銀行，都不能與此撇開關系。

李鐵軍提醒，在相關監(jiān)管完善之前，最主要的防范還是靠自己，盡可能保護個人的信息，“比如在提供個人數據時，只有在那些必須提供個人真實數據的地方提供。”

詐騙犯被押解回國

　　另外，李鐵軍還認為，在這些容易泄露信息機構缺乏安全方面的管理人才時，這些機構找是不是可以找專門的第三方安全服務公司，比如現在用的較多的云技術，可以將他們的資料交給專業(yè)公司的云服務器托管，這些專業(yè)公司被黑客攻陷的可能遠要低于他們本身。雖然無法從根本上解決這個問題，但可以安全方面上個臺階。

李鐵軍，社會不應該通過一個少女的死亡來警醒民眾。在法制、網絡安全相對滯后的今天，需要改善的地方也有太多，更需要個人清醒認識到這種電信騙局，讓悲劇不再發(fā)生。