可以随意下载、修改的学籍信息。
不需身份验证,不要通过账号、密码登录,任何人都可以进入榕城某高校网络职业教育学院的学生信息库,不仅能下载信息,还能随意修改,该学院8万多名学生的个人信息和学籍卡信息处于“裸奔”状态。
昨日,仓山警方对该学院的违法行为依法做出行政处罚,并责令整改。这是福州警方针对互联网信息安全防护问题,对教育系统高校作出的首个行政处罚决定。记者随后登录该学院网站发现,随意登录的情况已得到改正。
警方:信息库“裸奔”就像敞开仓库
“近年来,绝大部分国家机关、金融系统、教育系统等事业单位以及公司企业都建立了相应的网络服务平台、网站,网络信息安全问题受到越来越多人的关注。为确保互联网使用的安全性,防止发生通过互联网侵入、窃取、破坏国家机关、企事业单位、社会团体以及公民的保密信息、隐私信息,公安机关不断加大巡查管理力度,积极提升网络安全防护能力。”昨日接受采访时,仓山公安分局网安部门的民警说,上周末巡查时,发现仓山某高校的网络职业教育学院的网站存在巨大安全隐患——任何人不需要身份验证,不需要账号、密码,就可以通过该网站随意修改或下载该学院8万多名学生的个人信息和学籍卡信息。
民警称,该网站对学生的个人信息和学籍卡信息没有采取最基础的安全防护措施。“就好像一个没有关上大门的仓库,货物可以任人拿取。”民警说:“学生的信息库没有任何安全防护,可以被下载甚至随意修改,这些信息包括学生的姓名、年龄、职业、照片、学籍号、身份证号、家庭住址、联系电话以及部分简历、电子邮箱等内容。信息一旦被犯罪分子利用,将对社会秩序和学生合法利益造成严重危害。”学院:只是一个小漏洞完善一下就行了
昨日上午,仓山公安分局民警来到这所位于仓山区上三路某大学的网络职业教育学院,并将警方在巡查中发现的高危风险漏洞情况向该学院进行通报,告知该学院相关负责人,警方将依法予以行政处罚。
一开始,该学院一负责人在获悉警方通报的情况后,不以为然地说:“这只是一个小漏洞,我们叫人完善一下就行了。”当民警郑重告知事态的严重性,以及可能被不法分子利用实施犯罪后,负责人表示该学院网站系委托北京某网络公司设计并投入使用,对于警方发现的隐患,愿意配合调查,并马上整改。
随后,民警还对该学院的机房、服务器、数据库等安全防范硬件、软件设施进行检查,并通知相关人员到派出所做笔录。
罚单:警告并要求改正系榕城高校首例
据仓山警方介绍,由于发现处置及时,目前尚未发现该网络教育学院因网站安全防范漏洞导致案件发生的情况。最后,仓山警方根据《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》的相关规定,依法对该网络教育学院处以责令限期改正、给予警告的行政处罚。
《计算机信息网络国际联网安全保护管理办法》规定,互联网单位、接入单位、使用计算机信息网络国际联网的法人和其他组织存在未建立安全保护管理制度的;未采取安全技术保护措施的;未对网络用户进行安全教育和培训的;未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实等情况,公安机关均可依法作出行政处罚。
提醒:网络信息被窃取极易引发各类犯罪
据民警介绍,目前互联网及移动网络的应用范围很广,数据量庞大,若拥有或使用数据库的单位没有采取相应的防护措施,极易引发各类犯罪。最常见的有窃取公司企业的商业信息、生产信息、客户信息;利用被泄露的个人信息实施网络诈骗、电信诈骗或信用卡诈骗等,甚至扰乱金融、电信、医疗等系统的正常秩序或通过政府官网发布虚假信息引发社会恐慌等情况。警方之前曾多次接到过因互联网安全防范出现漏洞造成企业财产损失和公民个人信息被盗用的案件。
就该学院存在的安全隐患而言,有可能让人冒名顶替领取毕业证或更改学习成绩以及下载转卖个人信息的高危风险。
仓山警方最后提醒,单位或公民使用互联网时若发现违法犯罪行为或合法利益受到侵害,请及时报警。
