130万研究生报考人信息泄露—您的数据加密了吗?

离2015研究生招生考试还有一个月，不断有考生在网上抱怨起手机或邮箱受到欺诈广告骚扰。现在，已经有了答案：综合近日网传相关信息判断，他们的报考信息已经泄露，其中包括完整的个人身份信息和联系方式。

事实上，早在10月20日，乌云安全漏洞报告平台就已曝光中国高等教育学生信息网的重大安全漏洞：学历校验结果网页未检查用户权限，更改网址参数可能随机命中第三人的学历信息，其中包括姓名、身份证号码、毕业学校、毕业年月、最后学历、学历证书编号等，黑客编写简单遍历程序即可自动抓取全部数据。

此次130万考生信息被一锅端的中国研究生招生信息网就是中国高等教育学生信息网(简称“学信网”)的子网站，其泄露信息的范围更广，除考生个人信息外，还有手机号码、个人邮箱、报考学校、专业和研究方向等。目前，这些信息已被用于地下交易，处于完全失控状态，正在诈骗犯罪团伙手里发挥着经济价值(定向出售“考题”、“答案”，或承诺录取以骗取钱财等)。截止目前，该信息泄露原因尚不得而知，无法断言其源自技术漏洞还是管理漏洞。

无独有偶，10月6日，全国大学生四六级考试官方网站被曝SQL注入漏洞，黑客可利用该漏洞控制服务器主机管理系统，漏洞等级属A1级，即最高危级。估计该数据库极可能也已经被黑客完全掌握，并用于地下交易。

据了解，卖家出售的数据不仅涉及到考研用户的姓名、性别，还有手机号码、座机号码、身份证号、家庭住址、邮编、学校、报考的专业等敏感信息。整个数量大约130万，卖家的打包价是15000，据称是多次转卖后才会是这个价格。目前，已有很多考研用户反映，接到卖考题、卖答案、办补习班等的电话。

对于数据泄露的原因，目前正在进一步调查中。相关人士透露，泄露环节很多，可能是系统漏洞、网络攻击所致，也可能是内部管理不当。

对于系统漏洞，涉及到的环节比较多。系统本身的bug，以及缺少必要的安全策略，例如考生在提交信息的时候登录的网站是否以https加密模式传输等，都会导致考生信息泄露。目前沃通CA已为多家国内著名高校颁发了SSL证书，确保数据的在线传输安全。

据了解，网站漏洞数量每年成倍增长，安全问题反馈及发布平台乌云网透露，2013年一年受到约4万多个漏洞，2012年是2万多。乌云网联合创始人邬迪表示，要防范并及时弥补漏洞，并不容易。一些大型的金融机构、互联网企业等，一般有专职的安全团队去做，但是对于普通企业，特别是互联网金融、O2O等很多创业型公司，早期可能就是程序员、开发人员做一些业务，但现在能力上、经济实力上或者关注点上还没到安全这一块，所以问题比较多，短期内也比较难解决，可能会原来越多。