“学生被诈骗离世背后的数据贩卖链条：几分钟可黑进教育局网站”

本篇文章2635字，读完约7分钟

短短三天间，接连发生了两起学生电信诈骗，继而发生了心脏骤停和死亡惨剧。 舆论正在痛斥骗子，也开始关注学生的消息是如何被准确地泄露的。

据《县蒙晚报》报道，山东临沂罗庄女孩徐玉玉8月19日接到一个陌生电话，对方声称将向她发放2600元的补助金。 应对方要求，徐玉玉打算支付学费的9900元由骗子提供的账户&hellip； &hellip； 骗子拿到的关键之一是，在打这个陌生电话之前，徐玉玉接到过教育部门发放补助金的通知。 这意味着骗子准确掌握了徐玉玉多种个人新闻。

8月25日，一位资深计算机技术人员就澎湃信息( thepaper )表示，徐玉玉的新闻可能在被黑客窃取后被卖给了骗子。 据他介绍，一个团队试图入侵临沂周边许多市县教育局的网站，但几分钟内就可以访问，发现相关情况可以自由浏览和下载。

该技术人员根据澎湃消息称，目前黑客窃取个人新闻，形成巨大的产业链，部分黑客在黑进部分网站获取新闻后，在小型论坛和社会交流群中销售新闻。

与之相对应，网上的数据贩子无处不在。

一些数据贩子表示，他们掌握着全国各地各行各业的各种数据，不仅可以销售学生的电话数据，还可以销售股东的账户数据、机票数据、网络购物数据、新生儿数据等。

网络安全专家、猎豹移动安全研究员李铁军( Waybow )认为，这些黑客的技术并不是很好，首先是学校、医院等机构在网络安全防范方面没有足够的投资，所以黑客 这些网站上有很多个人新闻。

数据贩子猖獗:一些人声称，国内学校有一半的数据在我身上

据知情人士介绍，澎湃信息( thepaper )记者在购买数据、电话销售等关键词上，通过qq软件进行搜索，查找准确的数据购买、机票数据、淘宝数据、保健数据、电话数据、丰胸减肥数据、。

记者用qq加好友方法联系了几位数据卖家。

据几位卖家称，他们主要从事电话数据的销售。 这个数据可以简单地分为两种。 一个比较准确，有电话和所有者的名字。 另一个很模糊，只有电话号码。

卖方称，销售的数据类型包括今年新开设的股票账户，这种通常销售股票资产类的企业比较多可以购买的老年人的电话数据，当然也有可以销售健康食品等的学生之类的电话数据 为什么这么说呢，因为学生本身不容易说谎，经济能力有限。

这个数据因新鲜度而异。

根据这些卖家的估算，100元可以买到2000条电话新闻，300元可以买到10000条电话新闻； 10万条电话新闻卖1200元，20万条电话新闻卖1800元。

卖方新得到的消息有点高。 据一位卖家称，8月份刚拿到的数据是一毛一毛的。 当然，如果是没有卖过的纯数据，售价可能会在1-2元。

关于销售数据的范围，销售者主张销售全国数据，购买者可以根据地区进行选择。

据一家专业财经媒体报道，一位业内人士声称，国内学校有一半的数据。 即使是手头没有的东西，只要告诉我名字，就能拿到。

过去，购买高中毕业生数据的大多是非正规的成人教育和网络教育学校，但随着生源的减少，这种生意熄火了。

新买主中，职业骗子占大多数。

谁泄露了隐私新闻:教育机构新闻安全投资不足

关于这些个人隐私数据的来源，大部分卖方不愿意透露。

据一位卖家称，他们获得电话号码的来源之一是在财经网站上提取的。

李铁军解释说，如果顾客登录这个网站，有可能通过可以获取电话号码的程序，但这些电话号码大部分不是真实姓名。

前述销售者还表明，销售数据的另一个来源是自己开发。 这个开发是指从银行、证券企业、大型门户网站、购物网站等机构的个人那里购买。

但是这位卖家说，现在这种渠道越来越难走了。

除了上述渠道外，李铁军还向澎湃信息( thepaper )记者表示，黑客成为泄露个人新闻产业链的最大环节，部分黑客开始专门转卖各种数据，少量教育机构和医疗机构的数据容易被盗。 虽然这些机构的业务现在与互联网紧密相连，但这些机构在国内一直是缺钱的部门，做新闻安全需要比较大的投资，就在于其选择安全方案

根据教育部、公安部发布的《教育领域新闻系统安全等级保护等级决策工作指南(试行)》、《教育部公安部关于全面推进教育领域新闻安全等级保护工作的通知》，在全国开展新闻系统安全等级决策等级备案工作。 在两个通知中，对教育领域提出的最高安全保护等级为第三级(级数越高要求越高)，当然学校可以根据自己的诉求提高安全保护等级。

相比之下，银行部分系统的最高防护等级为第四级。

另一种情况是，这些教育机构网站上存在的漏洞不高，容易被入侵，李铁军说。

上述资深计算机技术人员也知道，一个黑客团队在几分钟内绕过某市教育局网站的防火墙进入后台。

监管不足:防范依然只能依靠个人

那么，问题这么多，导演去哪儿了？

对于隐私泄露带来的损害和灾难，一个地方探员非常无力，他们非常理解，同情受害者。 但是，他们也为这种事件而烦恼。 虽然有时花费不多，但案件调查多而繁杂，案件的侦查地域范围越来越广，另一方面，零碎的案件可能必须在一定时期之前一起侦查。 对他们来说，精力有限，不能到处救火。

这位警官认为，如果不从根本上处理问题，在公安和司法机关减少案件的发生就不容易。

据新闻网报道，根据北京市公安局网络安全总队和360网络安全中心联合设立的网络诈骗全民举报平台猎网平台去年年底发布的《现代网络诈骗产业链拆解报告》的初步统计，中国

李铁军坦率地说，目前中国个人新闻泄露面临失控的危险，谁都不安全，但改善这个系统需要很长时间。 颁布国家相关法律法规、是否具备司法机关的办公能力、管理数据机关的能力能否提高等，这其中花费的时间和成本都很大。

新闻网在一篇评论中指出，骗子成功的原因不仅是通信主管部门和通信运营商没有看到和忽视骗子专用号码段的存在，还有掌握市民个人新闻的部门和机构，以及审查(骗子挂牌)客户新闻的相关银行。

李铁军警告说，在相关监管完善之前，最重要的防范还是自己，尽量保护个人新闻。 例如，提供个人数据时，只能在必须提供个人真实数据的地方提供。

另外，李铁军认为，在这些容易流失的新闻机构缺乏安全方面的管理人才的情况下，这些机构是否可以寻找专业的第三方安全服务企业，例如目前使用较多的云技术，将他们的资料交给专业企业的云技术。 这些专业企业被黑客攻击沦陷的可能性可能远远低于他们自己。 虽然根本不能处理这个问题，但在安全方面可以上楼梯。

李铁军，社会不应该通过一个少女的死来唤醒民众。 在法制和网络安全相对落后的今天，需要改进的地方也太多了，个人必须冷静地认识到这种电信诈骗，以免悲剧再次发生。

来源：UI科技日报