高校网站存漏洞 福州警方暂闭网站首开罚单
建隆/漫画
关注理由 国内最大的在线旅行服务商携程网陷入“支付漏洞”风波,网络信息安全再引关注。
日前,福州仓山警方在互联网安全防护的日常巡查中,发现地处仓山的某知名大学的网络教育学院网站,在互联网信息安全防护方面存在漏洞,该学院8万余名学生的个人信息可被随意下载和修改。
昨日,警方就该问题对该学院处以警告并责令限期改正的行政处罚。这也是福州市公安机关因互联网信息安全防护问题,对高校教育系统做出的首个行政处罚决定。
无需身份验证 可下载学生信息
仓山警方例行巡查包括,网站是否有防火墙、设置相关的身份认证等。警方发现,该大学网络教育学院的网站对外没有身份认证限制。进入该网站的网友,不需要身份验证,不需要账号、密码,就可以通过该网站随意修改或下载该学院内8万余名学生的个人信息。
这些信息包括学生的姓名、年龄、职业、照片、学籍号、身份证号、家庭住址、联系电话以及部分简历、电子邮箱等内容。
“身份证上信息也不过是名字、地址、出生年月,而这网站涵盖的信息量更广。”民警说,一旦被不法分子利用,后果严重。
昨日,警方来到该学院,暂时关闭了该网站。民警说,网站是学校委托北京一家公司设计并投用的,开始时校方还不以为意,称只是一个小漏洞,叫人完善一下就行了。
个人信息若被盗 或被用来诈骗
对校方的态度,警方给出了郑重警告。在民警告知该网站存在的高危漏洞可能被不法分子用于实施犯罪后,该学院相关负责人才有些紧张,表示愿配合警方调查。
民警检查了该学院的机房、服务器、数据库等安全防范硬件、软件设施,并通知相关人员到派出所制作笔录。
“该网站存在安全漏洞,这就导致任何一个进入该网站的人,都可以对信息进行修改。”民警给出了这么一个假设,一个在该校读书的学生,他这学期某个科目考了59分,而这个分数又被挂到这个网站上,那么这名学生可以通过登录网站方式,把成绩修改过来,就算改成100分也可以。不仅如此,网站还体现了每个学生的毕业证书编号,那么犯罪分子也可能利用这一漏洞,制造假的毕业证书。
民警介绍,互联网安全性很重要,单位信息或公民个人信息被窃取、盗用,可能导致多种犯罪的发生。“最常见的是这些信息被用来诈骗。”民警说,一些诈骗电话中,骗子都能准确说出受害者身份信息,就和受害者信息泄露有关。
漏洞处置及时 幸未引发案件
由于警方发现处置及时,尚未发现该学院因网站安全防范漏洞导致案件发生的情况。
民警表示,依照《计算机信息网络国际联网安全保护管理办法》,互联网单位、接入单位、使用计算机信息网络国际联网的法人和其他组织,存在未建立安全保护管理制度的;未采取安全技术保护措施的;未对网络用户进行安全教育和培训的;未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实等情况,公安机关均可依法作出行政处罚。
“由于目前该网站的漏洞并未造成严重后果,所以我们做出了责令限期改正的行政处罚。”民警说,规定的期限是15天,如果该学院未能在整改期限内达到要求,他们将会继续责令其关闭网站进行整改,直到达到安全标准。