一高校因存在重大风险,被通报!
近期,河南一高校接到上级公安部门及教育主管部门通报,指出该校网站公示的新闻、通知、附件等内容中存在未脱敏处理的身份证号、教工号/学号、手机号等个人敏感信息,违反相关法律法规要求,存在重大信息泄露风险。
对此,该高校发出紧急通知,要求校属各单位加强网站信息发布管理,防止个人信息泄露。
在高校校园安全管理中,信息安管理制度的有效落地至关重要。
2023年江西某高校就曾因未健全全流程数据安全管理制度,未采取数据加密等相应技术措施保障数据安全,导致学校数据库被黑客非法入侵,3万余条师生个人信息数据在境外互联网上被公开售卖。
南昌市公安局依据《数据安全法》第二十七条、第四十五条之规定,对该学校给予80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
谨记!各类信息脱敏方式
为从源头防范个人信息泄露风险,前文提到的河南某高校紧急发出通知,要求各类上网信息(包括但不限于新闻稿、公示公告、附件文件、配图等),不得直接展示身份证完整号码、教职工工号、学生学号、银行卡完整号码、家庭详细住址、未经脱敏处理的手机号码等个人敏感信息,并对各类信息如何脱敏发布指导:
●身份证号:保留前6位(地址码)和后4位,中间部分用“*”替代;
●手机号:保留前3位(运营商识别码)和后4位,中间4位用“*”替代;
●银行卡号:保留前6位(发卡行标识)和后4位,中间部分用“*”替代;
●姓名:2字姓名保留首字,第二字用“*”替代;3字及以上姓名保留首尾字,中间用“*”替代;
●邮箱:保留第一个字符和“@”后内容,中间用“*”替代;
●学号/工号:保留前4位和后2位,中间用“*”替代。
通知最后要求,所有上网信息需经“起草人自校→部门负责人初审→分管领导终审”三级审核,确保内容合规。
以上信息脱敏操作方法,也值得其他高校借鉴使用。
清华教授,遭遇“联合国”诈骗
在高校落实信息脱敏管理、筑牢网络安全防线的同时,师生个人的信息安全意识同样是重要屏障。当下,各类针对高校群体的诈骗手段,正不断升级伪装,稍有疏忽便可能导致个人信息泄露。
今年5月,清华大学法学院教授劳东燕亲身经历的一个诈骗事件,就为高校教师敲响警钟。
事情起因是,劳东燕收到一封自称是联合国经济与社会理事会工作人员的英文邮件,被邀请参加联合国经济与社会理事会年度会议。在确认了会议本身真实存在,会议日期也相符的情况下,与对方进行了几次邮件交流。直到发现对方发来预付住宿费的方式是汇到私人账号,才基本确定系骗子所为。但由于前面的大意疏忽,已经向对方提供了地址电话等个人信息。
为此她发出提醒:如果收到类似的邮件,请不要提供个人信息,谨防被骗。
套取个人信息不止一种诈骗手段,邮件、短信、网站、二维码,甚至虚假Wi-Fi等,都可能成为不法分子引诱高校师生透露个人重要信息的工具。
✎电子邮件钓鱼:不法分子发送带有恶意链接或附件的邮件,伪装成官方机构诱导用户点击链接或下载附件,从而窃取信息。
✎短信钓鱼:与电子邮件钓鱼类似,黑客发送伪装成合法实体的短信,要求受害者点击链接或提供信息。
✎虚假Wi-Fi钓鱼:诈骗分子通过架设一个虚假的Wi-Fi网络,打着“免费Wi-Fi”的幌子诱导用户连接,再通过技术手段获取用户账号密码、隐私文件等信息。某高校学生因为在校园附近连了钓鱼Wi-Fi,教务系统账号被盗,课程信息被篡改,黑客还通过邮件勒索赎金。
✎虚假网站钓鱼:这种诈骗手段更加常见。诈骗者制作与正规网站高度相似的虚假网站,通常伪装成银行及电子商务网,诱骗窃取银行账号、密码等私密信息的行为。
✎二维码钓鱼:不法分子制作带有恶意程序的二维码,通过海报、传单等形式传播,用户扫描后会被引导至恶意网站或下载恶意软件,导致个人信息泄露或被骗。
✎社交媒体钓鱼:诈骗分子在社交媒体上伪装成熟人、知名机构账户,与用户建立联系后,发送钓鱼链接、索要个人信息,或是吸引用户参与虚假抽奖活动借机获取信息或传播恶意链接。
警惕!仍有72名师生上钩
不法分子针对高校师生的钓鱼手段呈现多样化、场景化特点,而这些风险是否能被有效识别,也需要通过实战演练检验。
为强化网络信息安全,提升师生防范钓鱼邮件意识与能力,越来越多高校除了发布相关风险预警与提示,还开展专项演练积极应对钓鱼邮件攻击风险。
今年初,北京某高校结束了一次钓鱼邮件演练。演练覆盖全校近2.5万个目标邮箱。而且为求接近真实情况,学校以教师端“领取青年人才补贴”和学生端“学生假期去向登记”为钓鱼邮件主题,分别使用二维码和钓鱼链接两种钓鱼手段展开演练。最终共有1948名师生打开了邮件,252人访问钓鱼网站,72人向钓鱼网站提交数据。
其中,教师组打开邮件比例为11.12%,高于学生组(7.05%)。但学生组被“成功钓鱼”的比例更高,为0.36%;教师组为0.07%,为学校师生信息安全意识敲响警钟。
开学季往往会涉及一些信息的更新和登记,而且经历过长假,师生可能还处于放松状态,警惕意识较弱。此时,不法分子容易精准利用信息泄露数据,结合AI伪造、话术迭代等技术,将钓鱼攻击嵌入校园生活高频场景。这就提醒高校与师生要格外绷紧信息安全这根弦,共同筑牢校园信息安全防线。
来源:麦可思研究整理自澎湃新闻、江西日报、央视网、麦可思研究公众号等。