我的亲身经历 大中小学数据倒卖现象有多严重！

Temptation

　　最近一则《山东一女孩被骗学费 郁结于心离世》的新闻，让我想起了我的亲身经历。

　　楼主我是一名刚毕业没多久的大学生，虽然我要说的是2014年的事，但看了最近一女学生被骗学费的新闻，我觉得还是要分享一下，希望大家以后多多注意！（PS：具体哪个学校我就不透露，我怕查水表）

　　这件事我还是在QQ同学群知道的消息，当时把我吓出来一身冷汗，学校没经过本人同意，私自用身份证复印件在银行办理了信用卡，并告知我们赶快打中国银行信用卡的客服电话去查查，结果还真给我办理了一张信用卡，卡已下发，虽没进行消费，但这也吓我一跳，并且听同学所说，竟然在多个银行都有办理。就我们几个同学大概统计了一下，起码有200多人被办理了信用卡。

　　事后经警方查证，此事系中国银行四川成都武侯支行与该校教职工勾结，通过非正常渠道获取学生相关信息后违规办理，校方毫不知情也未授权，该教职工已被解职。为什么我们的个人信息轻易的就被泄露出去了？

倒卖学生数据成风

　　由于普遍不具备经济能力，且资金不充裕，学生群体并非电信诈骗的重灾区。数个倒卖用户数据的业内人士声称：“只要你听说过的学校，不论大学、中学、小学，（它们的数据）都有。”

　　其中一位倒卖数据人士就有上海某知名大学数据，包含了学生姓名、学号、性别、年龄、身高、体重、联系方式、专业等详尽信息。此外，该人士表示可以拿到“全国中小学生学籍信息管理系统”，包括学籍号、学校、入学方式、住址、家庭成员等等。该人士表示， “国内学校，有一半数据我都有。即使手头没有的，只要你告诉我名字，我也都能拿到。”

　　全国中小学生学籍信息管理系统，是由教育部在2012年开始实施上线的系统，旨在对全国范围内的学生注册、学生信息维护、毕业升级、学籍异动实施信息化管理，全国超过1.4亿名中小学信息存储在该系统上。

　　根据多位人士报价，“新鲜出炉”、“没有卖过”的一手学生数据，售价约1-2元/条，大量采购还有优惠。而二手的数据，基本低于1毛，如果批量购买，1万条二手数据约300-500元。在整个数据黑色产业领域，学生数据售价偏低，相比之下，一些从淘宝、京东、唯品会等电商平台流出的一手数据，售价在3-5元以上，高峰期售价一度达到20-30元/条。除此之外，在数据黑产中，电商、银行、股市、车辆交易等数据应有尽有。在上述业内人士看来， “买数据的，都是拿来骗人的，学生基本骗不到钱，数据卖不上价，乡镇之类学校的数据都卖不出去。”

　　10年前，学生数据要比现在值钱。一位北京某学校教师说：“倒卖生源数据的漏洞长期存在。很多民办大学会借合法专业的名义搞非法成教、网教来招生。每年高考之后，他们就从各省买考生数据，当时一个省考生数据售价几十万元。每年卖出十多万的名单。”

　　对于开设成教、网教教育的学校而言，“高分学生数据不值钱，都是白送，分数低的才值钱。拿到数据之后，学校安排话务组开始打电话，几天就能招50-60人。”该教师表示：“有的学校每年因此盈利上亿元，2006年左右，吃这碗饭的人粗略估计有20多万。”

　　“学校、教师、教育局、招生办，能拿到学生数据的部门太多了，很多人都可能成为泄露数据的源头。不光卖学生数据，学校教师的数据也都被卖出去了，老师天天都接好多推销电话。”该人士回忆称，“2008年之后，主管部门发文明确倒卖生源数据是违法行为，但也没有控制住。后来，因为生源减少，公立专业都招不满，民办的招不到生源，这个生意才淡下来。”

几分钟攻破学校漏洞

　　行业内市场衰落，行业外的电信诈骗、广告推销市场则开始兴起，而大量的学生数据流入黑色产业。

　　数据流入黑产的途径有三种，一种是接触到数据的工作人员泄露数据，一种是黑客入侵目标获取数据，还有一种是第三方IT系统服务公司在提供服务时获取数据并泄露。

　　一位教育信息化资深人士表示：“学生数据存放在很多地方，学校、招生办、教育机构等等。目前中小学数据教育部会提供统一平台，但大学数据，则存储在各个大学自己手中。”数据存储渠道的多样，增加了接触数据人员的数量，也无限放大了内部人员泄密的风险。

　　另一方面，多位来自信息安全领域的权威人士认为“教育行业的信息安全能力普遍极低。”在360旗下补天漏洞平台上，最近两年内提交的相关教育机构的漏洞超过1100条，“实际上远比这多，主要是教育机构漏洞太多，白帽子都懒得去测试，因为没有成就感。随便一个入门的黑客，都能搞定绝大多数学校系统，几乎不耗时间，甚至只需要敲几下回车就可以。”

　　一位信息安全资深人士对某部委直属大学做了测试，仅用几分钟即发现了该大学的漏洞，目前该大学已经修复该漏洞。需要指出，根据补天漏洞平台信息，该平台上最近两年内提交的清华大学、北京大学也均在50个左右。此外，近年来，因为“套号学历”、“学历造假”等事件，教育部指定的学历查询唯一网站学信网被屡次质疑，不过，教育部多次回应中强调“学信网安全”、“没有漏洞”。

　　2014年、2015年，教育部与公安部先后联合印发《教育行业信息系统安全等级保护定级工作指南（试行）》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》，在全国开展信息系统安全等级定级备案工作。两份通知中，学生的学籍、学位等信息管理系统大多列入第三级等级保护。教育行业最高安全保护等级为第三级。

　　根据相关要求，私密级、绝密级、机密级信息系统的安全防护水平分别不低于第三级、第四级、第五级。根据人民银行发布文件，银行部分系统最高防护等级为第四级。

　　前述教育信息化行业人士表示： “从这两年分析的结果来看，信息安全，是一个全社会都漠视的问题，需要所有企业、机构去提高重视程度，靠公民提高安全意识，根本没用。”

事情发展到这里，

除了惋惜这个女孩年轻的生命，

也希望这个社会少些欺骗和伤害，

当然，

信息安全仍是需要我们重视的大问题。

对此，你怎么看？

爱玩泥巴的汉纸

我看卖的人应该也有吧，倒卖信息的事情不是一次两次了