河南一高校通报学信网信息被泄露:系学生干部帮企业收集,怎样保护隐私?
河南一所高校通报学信网信息被泄露,原来是一名学生干部帮企业收集的。如果想要保护好隐私,就不要轻易透露登录网站的账号和密码,还有一些验证码信息也不要随意地发送给任何人。有一些人会巧立名目地让他人填问卷,在问卷过程中就会收集个人信息,因此碰到此类不要太过相信,要保持警惕心,冷静对待。该学生表示自己很无辜,因为也是受骗人,那么让我们来具体了解一下吧!
一,高校通报学信网信息被泄露
有很多学生发现登录不了学信网,仔细联想才想起来,原来是之前填过一份问卷调查。在问卷调查的最后一项,写出了让学生们把学习网的账号和密码进行登录,并且还把验证码发送一遍,当时有不少学生对这一情况保持怀疑。该组织者是学生干部,在学生中的信赖度比较高,认为帮学校办事无可厚非,结果却被有心人所惦记,之后再想登录学信网比较困难。因此对这一情况进行举报,该学校也进行了通报,学生干部已经被撤职。
二,怎样保护自己的隐私?
可以通过两个方面来进行保护,之一,不要随意向陌生人公布身份证号码、重要个人信息、账户密码等等,只要是涉及密码的就要谨慎,学信网的账号账号被盗用,有许多学生在购买平板电脑时,也没有办法享受优惠,学生减少了不少福利优待。第二,及时进行举报。当发现某一个问卷故意诱导用户,就应该对这情况及时举报,而不是等到问卷全部结束之后,发现号码登不上去才去举报为时已晚。
总之,由于互联网的普及,每个人离不开 *** ,因此也有很多漏洞。在很多时候,在使用 *** 时都极其不安全,一定要小心为上。
华南农业大学信息泄露漏洞挖掘(漏洞已修复)
本人的个人博客网址: ,所有的文章都可以在里面找到,欢迎各位大佬前来参观并留下宝贵的建议,大家一起学习一起成长 :-)
本漏洞的利用完全没有用到任何高超的技巧, 真因为如此才会让人觉得毛骨悚然, 一个漏洞如果有一定危害, 但利用门槛太低, 会造成很严重的后果. 我写本文目的主要是觉得, 即便现在不少高校对信息安全有所重视, 一些低级的漏洞很难见到了, 但安全问题总是遵从木桶原则, 纵使我无法攻破你的登录系统, 我还是可以通过你的别的漏洞获取到我要的东西. 本文涉及的漏洞我已经提交到教育 SRC, 在笔者发稿前已经被修复了, 所以大家也就随便看看就好.
本漏洞存在于华南农业大学统一身份认证平台的密码找回处, 是一个严重的逻辑漏洞. 在密码找回界面, 输入学号后, 系统会默认该用户已经成功登陆, 因此凭借登陆后的 sessionid 就能获取到该用户的敏感信息, 以及可以随意修改用户的绑定手机号以及密保问题.
通过 进入密码找回界面或者在统一身份认证平台点击找回密码:
然后输入学号和验证码, 点击"短信找回密码", 就会跳转到 .
这时, 点击右上角的学号(原先这里显示登录), 就直接跳转到 . 这个界面是个人设置界面, 里面有着详细的个人信息, 包括姓名, 身份证号, 手机号(如果有绑定的话), 邮箱, 身份等敏感信息.
除此之外, 还可以通过该界面对绑定手机进行重新设置, 以及设置新的密保问题(如果用户已经绑定了手机或设置了问题, 那攻击者就能直接看到了).
登录成功后, 还可以通过 可以获得用户的登录信息, 该信息泄漏了用户使用的 ip 地址, 以及登录时间.
本来漏洞的利用到此为止, 但我发现华农的登录初始化密码是身份证号码后六位, 那么如果有些同学没有立即更改初始密码, 攻击者就可以通过修改密码界面来"为其修改"密码, 从而直接登录华农统一平台, 统一平台里设置的个人隐私更加的多.
这个漏洞利用难度极低, 并且学号并不属于敏感信息, 通过百度一搜一大堆, 利用学号的连续性, 还可以直接猜解出一个专业各个班级的学号, 非常容易获取到敏感信息. 我还写了一个 Python 脚本来测试获取信息(现在这个脚本已经没用了, 所以我也不放出来了), 结果是完全可以做到批量导出.
之所以能做到批量导出, 也得益于该网站所谓的"验证码", 你可以通过 来获取验证码原文(需要附上 session_id), 从而绕过验证码, 然后攻击者可以通过猜测用户的学号(学号毕竟相连), 从而一次性泄漏一大批敏感信息.
在我将本漏洞提交给教育 SRC 后, 校方已经在短时间内修复该漏洞, 现在已经不存在该漏洞了. 即使这样, 我也是觉得高校对于学生信息的保护还是做得不够, 这个统一认证平台应该是外包出去的, 我通过一个链接看到了这个公司的信息, 但我觉得如此低级的逻辑漏洞存在于一个重本学校, 可见学校并没有对自己系统做充足的检查就让其上线, 如果当时这个漏洞被不法分子挖出来, 那后果可能是华农大部分学生的身份信息都已经被泄漏了. 笔者写本文仅希望高校能重视学生的个人敏感信息的保护, 对于这种关键系统, 一定要再三进行检测后才上线, 不然最后导致严重后果, 于学生, 于学校都没有任何好处.
河南一高校通报学信网信息被泄露,学生信息被泄露后可能面临哪些危险?
河河南一所高校出现了学生信息泄露的问题当时的学校知道这件事情之后也是赶忙进行了彻查,之一时间对各种部门进行了调查要求快速地查清事实及时的做出回应给学生们一个合理的答复。那么学生的信息被泄露之后都有可能会面临着什么样的危险呢?首先就是可能有不法分子用学生的信息来进行贷款,或者说是经常受到一些莫名的机构打来的 *** 。
河南一高校通报学信网信息被泄露
河南一所高校里出现了学生信息泄露的问题当时学校知道这一件事情之后也是非常的生气立马进行了之一时间的调查,要求快速的调查清楚这一件事情及时的给学生们一个合理的答复,经过调查显示确实有部分的学生信息出现了被盗的现象,针对这一个事情学校的有关部门已经是向当地的派出所进行了报案立案调查。
学生信息被泄露后可能面临哪些危险?
那么在这个时候很多人都比较好奇学生的信息一旦被泄露了之后会面临着什么样的危险呢?首先就是学生的信息在被泄露出去之后可能会被不法分子拿来进行贷款,因为你的信息已经被泄露出去了只要有这些信息之后不法分子就有途径用来借助你的名义去贷款,除此之外比较轻的就是我们可能会接到一些莫名其妙的 *** 总是会给我们推销各种各样的东西。
温馨小提示
所以大家平时在网上购买任何东西的时候记得一定要把自己的信息给抹除,并且学校里填写的各种各样的信息除了老师让必须填写的以及学校必须填写的信息之外像其他学长学姐让你帮忙填写的那一种报名表之类的东西千万不要填写,因为有可能会让你的信息泄露。
河南高校通报学信网信息被泄露事件,如何保障学生信息安全?
河南一所院校由于学生干部在收集信息的时候,不小心导致学生在学习网上的相关信息泄露出去,这极大地影响了该院校学生的信息安全。如果被有心之人拿去很有可能会引起 *** 诈骗,引起学生隐私的泄露。虽然校方给出的回复较为官方,但是我们对于学生信息安全问题的管理和看护都需要进行有效的处理办法,让学生不会为自己的信息问题而担忧。法律、监管部门都要将制度完善、措施监管到位,学生在使用 *** 的时候不能够直接连接公用WiFi,否则也很容易导致信息的外泄。
学生的信息安全一定要让各大高校引起重视,很多学校在使用某些软件的时候,会被一些人特意将软件中的数据库卖给其他有心之人,而信息泄露还包括学生的性别,学号,邮箱,手机号,姓名,等等更是,在热搜上多次看到此条信息,有些人在知道学生的隐私之后,就会利用手机号和相关信息给学生打 *** 进行诈骗,或者引诱学生做一些违法犯罪的事情。
这样的情况就需要学校做好,对软件使用的审核没有资质、没有经营权限的软件公司是不可以拿来使用的。在学生上网课、在线学习以及监考的时候这些软件都能够通过学生的各种操作实施监控,让学生在无意间就达到了信息的外泄。不要仅仅让学生意识到信息安全的重要性,学校以及监管部门也需要知道学生信息的外泄究竟意味着什么。
相关部门需要制定健全的法律体系上犯罪分子,不敢再顶着违法犯罪道路而实施信息泄露行为,在泄露隐私问题上企业以及目的不轨的人,不敢再利用学生的信息进行违法操作,更不会将学生的信息卖给不法分子加以利用。大学生在上网课进行 *** 搜索和娱乐时,也是要辨别 *** 上存在安全问题的软件链接 *** ,让 *** 信息安全随处可在。
0条大神的评论