細思極恐！你的信息是這樣被泄露的！

近日，准大學生徐玉玉被騙學費後心臟驟停去世的消息引起廣泛關注。而騙子之所以輕易得手，主要原因在於其精準的掌握了徐玉玉的個人信息。

教育信息

許可權設置有誤 搜索引擎泄密

根據網友爆料，「北京時間」在搜索引擎上搜索了帶有office文檔後綴名稱、「身份證」以及高校網站後綴等字樣的檢索詞後，頁面出現了大量高校學生的登記表。

「北京時間」下載後發現，這些登記表的時間跨度從2009年到2015年，高校地點分布在北京、南京、陝西、蘇州等地。表格內容則涉及「獎學金髮放」、「助學金髮放」、「免考名單」、「參保名單」等方面，並且幾乎都登記了學生們的姓名、身份證、電話號碼、專業、學號等個人信息。而通過頁面瀏覽個別學校的鏈接時，甚至能看到學生的家庭住址、家庭電話、在校以及高中時代所受獎勵等詳細情況。

「北京時間」隨機撥打了表格中的幾個電話，發現2015年的表格中，幾乎所有學生的信息都是準確的。而在過往年份表格中，除了個別人更換了電話無法聯繫外，其他人的信息也全都準確。

某高校獲得貸學金學生名單

獲得貸學金學生詳細信息

某高校2015級學生入學信息

搜索引擎泄露個人信息示意圖

上海交通大學網路信息中心安全專家姜開達認為，出現此類情況有兩種原因，其一，是高校網站對上傳的office文檔沒有進行保護，處於公開狀態。另一種則是因為網站許可權設置有誤，導致不需要管理員登錄或者沒有控制下載許可權。這兩種情況都能被搜索引擎收錄。

系統漏洞多 補丁跟不上

姜開達介紹，除了高校自身存在的漏洞外，大部分學校的教務、管理系統都是購買的軟體公司的產品。而此類軟體的更新頻率和補丁的數量遠遠不夠。「拿微軟來說WINDOWS系統幾乎每周都要更新一大堆的補丁，以修補漏洞。」

此外，目前高校會經常與其他院校、政府部門甚至和科研機構開展一些活動，可能需要外部系統和本校系統相連。而如果這些外部系統存在漏洞，因為獲得了許可權，也可能被黑客用做攻擊的手段，進而導致高校「躺槍」。

學校網站被「黑」過程示意圖

最後，姜開達表示，此前確實有不少高校在互聯網信息安全方面意識淡薄。但隨著信息泄露事件的頻發，高校也開始逐步重視這一方面的內容。

而「北京時間」發現，安全意識淡薄不僅在高教系統，中小學、課外培訓機構等也存在類似的問題。在360互聯網安全中心發布的《2015年中國網站安全報告》顯示，僅2015年出現了漏洞的教育領域網站就多達914個，可能導致2462萬條信息被泄露。

出行信息

「內鬼」層層倒賣 搭建特殊渠道

中國民航信息網路股份有限公司（下稱中航信）隸屬於中國民航信息集團，除春秋航空外，內地所有民航公司均通過中航信平台進行機票銷售。

中航信系統包括核心網路、電子客票系統、民航旅客訂座系統（ETERM系統）、離港控制系統。其中，民航旅客訂座系統包含代理人分銷系統（CRS系統，簡稱C系統）、航班控制系統（ICS系統，簡稱B系統），B系統中詳細記錄民航公司的航班、座位、艙位、價格、乘客身份情況等信息數據。

在2015年宣判的「高某等民航信息泄露案」中，民航信息泄露的「面紗」逐漸被揭開。

民航系統-乘客信息泄露示意圖

據報道，民航工作人員表示，「民航的信息系統是國務院監管的八大重點系統之一，乘客信息泄露的問題多出於『內鬼』身上，另外，也有可能是黑客侵入伺服器，但這種情況較少。」

「高某等民航信息泄露案」顯示，高某原來是中國民航信息網路股份（香港）有限公司的職工，在工作期間，獲取中國南方航空股份有限公司B系統賬號及中航信香港分公司內部使用的B系統賬號。然後私自將B系統賬號販賣給他人，然後經過「放大」賬號，使B系統賬號能夠被不斷的傳播與轉售使用，不法分子通過B賬號侵入中航信系統，盜取各大民航公司的乘客信息，並針對性的發送詐騙簡訊以牟取暴利。

海南儋州「機票改簽」詐騙團伙交代，在網上也可以通過「特殊渠道」購買乘客信息，以每條15元的價格買下，定向實施詐騙。

目前，國內能夠掌握各大航空公司訂票數據的只有中航信，處於一家獨大的狀態。我國銷售機票必須取得中國航空運輸協會（CATA）頒發的資格證書，擁有證書後方可進入中航信系統。不過，現實生活中許多機票代理商沒有取得相應的資質，而是利用外掛平台違規接入中航信系統，增加乘客信息泄露的風險，同時，由於代理商較多且分散，監管相對不足。

醫療信息

密碼簡單 黑客輕鬆攻破

從2015年12月360互聯網安全中心發布的《2015年中國網站安全報告》顯示，2015年共有1410個漏洞可能造成網站上的個人信息泄露，這些漏洞共涉及網站1282個，可能或已造成泄露的個人信息量高達55.3億條。其中，從平均每個漏洞泄露的信息量來看，醫療衛生行業排在首位，平均每個泄露信息漏洞可能導致961萬條個人信息泄露。

據「補天」漏洞響應平台安全專家葛坤表示，國內很多政府部門、事業單位的網路系統採用外包給第三方公司創辦和維護的模式，一些承辦公司「只管走量，不管維護」，致使網站處於「裸奔」的境地。葛坤說，安全意識薄弱和密碼管理弱的現象也部分存在，「曾經出現過某省衛生廳管理員的密碼就是『123456』的情況，這給一個掌握了全省幾千萬人口醫療檔案的資料庫帶來了風險和隱患」。

漏洞數據截圖

而在使用者安全意識淡薄的同時，黑客們卻在不斷更新技術。

近兩年以來，黑客入侵和非法登錄事件次數明顯增多，已經取代了被竊成為最主要的泄露原因。從泄露的人數上來看，黑客入侵也成為近兩年內泄露人數快速增長的主要原因。

而更可怕的是，黑客們甚至還可能利用漏洞對醫院實施「控制」。一名美國黑客就曾通過網路控制了洛杉磯一家醫院的系統，導致病例全部無法使用。最終醫院只得「支付」贖金，才保證醫院的正常運行。

房產信息

關係戶相互分享 循環倒賣

有媒體報道稱，在某房地產門戶網站的論壇上，搜索「廣告簡訊」就能搜索出16746條。據報道，該網站在註冊時會要求填寫手機號碼、郵箱等個人信息，而在會員登錄並瀏覽時，就會得到這些會員看過哪些樓盤，進而分析出其需要的價位、地段等等。半年後，默認會員已經買房，之後把這些資料轉移給家居類公司，在之後則轉移給二手房經銷商。如此，分享後，用戶的信息被循環倒賣。

房地產信息泄露示意圖

此外，一些有關係的裝修公司和建材商都能從售樓處、中介處將業主的個人信息買出來，一般不是熟人不賣，然後派專人進行聯繫，其目的就是向購房者推銷自己的產品，而那些沒有關係的裝修公司及建材商則很難從售樓處拿到一手的個人信息。

由於中介公司、裝修公司的人員流動性強，業務員頻繁跳槽。而每到一處，業務員都會把其掌握的客戶信息帶到新的公司。如此，一套信息，就被多個公司所掌握。

來源：北京時間

TAG:啪啦啪啦 |

※手機這樣充電很危險，你的信息可能已經泄露了！
※百度的鍋還是用戶的錯？缺乏安全意識信息活該被泄露！
※你的「背」，泄露你的「病」！驚呆了
※潛意識是如何泄露我們的秘密的？
※你的「背」，泄露你的「病」！
※信用卡泄露的信息有多嚴重，你知道嗎？
※華為小米也難逃處理器漏洞！不想信息被泄露？這樣做就行！
※可怕！這些舉動正在泄露你的個人信息，趕緊防起來！
※這才是真正的天機，泄露給有緣人！
※你的外在的容貌，泄露了你的靈魂！
※眼睛的顏色可泄露疾病，你知道嗎？
※最後一期跑男的預告泄露了一個大秘密，她有必要這樣嗎？
※智能手機上的細菌會泄露你的個人信息？
※睡姿泄露健康！睡覺時身體猛的抖一下的真相竟是這樣？
※宅客問答：黑客比一般人更擔心隱私泄露嗎？是！
※你的眼睛泄露秘密了嗎？
※女性必看！你身後的男人真的還愛你嗎，5種表情已泄露他的真心
※審判薩達姆的這些法官們，是誰泄露他們的真實身份導致被殺？
※泄露天機！你輪迴到這一世竟然是為了這個？！不知道的話後悔一輩子！