信息來源：安全內(nèi)參

2020年突如其來的新冠疫情促使遠(yuǎn)程教育快速發(fā)展，這也為黑客實(shí)施網(wǎng)絡(luò)攻擊創(chuàng)造了更多條件。攻擊者通常會(huì)利用勒索軟件、DDoS攻擊、釣魚郵件、系統(tǒng)漏洞等方式實(shí)施入侵，而大多數(shù)教育機(jī)構(gòu)的系統(tǒng)都比較陳舊，難以抵御相應(yīng)攻擊?？ò退够淖钚卵芯匡@示，2020上半年針對(duì)在線教育資源的分布式拒絕服務(wù)（DDoS）攻擊的數(shù)量是去年同期的三倍多。近期，美國聯(lián)邦調(diào)查局（FBI）等三部門聯(lián)合發(fā)布警報(bào)稱，2020年9月針對(duì)K-12學(xué)校的勒索攻擊比例高達(dá)57%。由此可見，教育行業(yè)的網(wǎng)絡(luò)安全形勢依舊不容樂觀。

《安全內(nèi)參》對(duì)跟蹤到的教育行業(yè)網(wǎng)絡(luò)安全事件進(jìn)行梳理，篩選出近三年比較有代表性的十個(gè)事件，為有關(guān)部門和單位提供參考，防患于未然。

01 加州舊金山大學(xué)遭遇勒索軟件攻擊后支付114萬美元贖金。

2020年6月，加州舊金山大學(xué)遭遇NetWalker勒索軟件攻擊后，攻擊者在暗網(wǎng)上將其加入到了未支付贖金的受害者名單行列。三周后，加州舊金山大學(xué)發(fā)表聲明，承認(rèn)向NetWalker支付了114萬美元贖金，同時(shí)，其名稱也被攻擊者從名單中移除。加州舊金山大學(xué)表示被勒索軟件加密的數(shù)據(jù)對(duì)學(xué)術(shù)工作非常重要，因此他們只能做出困難的決定支付贖金。聲明沒有提及備份，由此看來該學(xué)校即使有備份也不足以恢復(fù)被加密的數(shù)據(jù)。

02 印度最大在線教育平臺(tái)Unacademy發(fā)生大規(guī)模數(shù)據(jù)泄露。

2020年1月，印度最大的在線教育平臺(tái)Unacademy發(fā)生數(shù)據(jù)泄露事件，暴露了大約1100萬用戶的個(gè)人信息。網(wǎng)絡(luò)安全情報(bào)公司Cyble發(fā)表文章稱其收購了2200萬個(gè)Unacademy用戶賬戶的數(shù)據(jù)庫（Unacademy在聲明中指出自己只有1100萬用戶），該數(shù)據(jù)庫在暗網(wǎng)上的售價(jià)為2000美元。Cyble表示Unacademy泄漏的數(shù)據(jù)包括用戶ID、加密密碼、電子郵件地址、加入日期和上次登錄時(shí)間等信息。不過Unacademy在一份聲明中表示沒有泄露任何敏感信息，例如財(cái)務(wù)數(shù)據(jù)、位置或密碼等。

03 香港中文大學(xué)用Zoom考試遭數(shù)名攻擊者入侵傳播色情內(nèi)容。

2020年4月，香港中文大學(xué)使用視頻會(huì)議軟件Zoom舉行通識(shí)課程考試，在考試開始約 10 分鐘后，聊天室突然有幾名日本籍和印度籍人士加入，而且有印度人一直模仿講師的口音講話。有學(xué)生表示，當(dāng)時(shí)一直有人講粗口，更有人用「分享屏幕」功能，在聊天室內(nèi)播放成人影片及印度歌曲MV，以至學(xué)生無法正常進(jìn)行考試。講師隨后立即中止考試，要求學(xué)生對(duì)著鏡頭展示自己的學(xué)生證，再呈交考試答案。有學(xué)生擔(dān)心自己的個(gè)人信息也被這些黑客看到了。Zoom的安全問題也成為2020上半年公眾討論的熱點(diǎn)。

04 多地?cái)?shù)千高校學(xué)生隱私遭泄露，學(xué)生信息成偷稅公司首選。

2020年4月，河南鄭州、陜西西安、重慶、湖北武漢、山東青島、安徽滁州等多所高校的數(shù)千名學(xué)生發(fā)現(xiàn)，自己的個(gè)人所得稅App上有陌生公司的就職記錄。稅務(wù)人員稱，很可能是學(xué)生信息被企業(yè)冒用，以達(dá)到偷稅的目的。基于收集信息齊全、便捷，而且大部分從未就業(yè)、極少使用個(gè)稅App，不容易發(fā)現(xiàn)自己的信息被盜用等原因，高校學(xué)生成了公司偷稅的目標(biāo)“大戶”，而大規(guī)模信息泄露的源頭往往跟學(xué)校脫不了干系。稅務(wù)人員表示，如果查實(shí)是公司冒用了學(xué)生的個(gè)人信息，對(duì)學(xué)生的未來就業(yè)不會(huì)產(chǎn)生影響，只對(duì)企業(yè)有影響。

05“月光”蠕蟲感染國內(nèi)高校網(wǎng)絡(luò)，中毒電腦被遠(yuǎn)程控制。

2019年10月，根據(jù)騰訊安全御見威脅情報(bào)中心檢測分析，“月光（MoonLight）” 蠕蟲病毒感染呈上升趨勢，該病毒主要危害教育行業(yè)。病毒會(huì)搜集受感染系統(tǒng)上的郵件地址，然后偽裝成屏幕保護(hù)程序文件(.scr)的病毒發(fā)送至收件人；還會(huì)復(fù)制自身到啟動(dòng)目錄、download/upload目錄、共享目錄以及可移動(dòng)磁盤，具有較強(qiáng)的局域網(wǎng)感染能力；此外，病毒會(huì)記錄鍵盤輸入信息發(fā)送至遠(yuǎn)程服務(wù)器、對(duì)中毒電腦進(jìn)行遠(yuǎn)程控制、組建僵尸網(wǎng)絡(luò)，對(duì)指定目標(biāo)進(jìn)行DDoS攻擊。該蠕蟲病毒已在教育網(wǎng)絡(luò)造成較重影響，在9月開學(xué)季達(dá)到感染峰值。

06 美國路易斯安那州部分學(xué)校遭到網(wǎng)絡(luò)攻擊后全州宣布進(jìn)入緊急狀態(tài)。

2019年7月，美國路易斯安那州北部三個(gè)學(xué)區(qū)的計(jì)算機(jī)系統(tǒng)遭到一系列網(wǎng)絡(luò)攻擊導(dǎo)致宕機(jī)，盡管事件影響范圍只有三個(gè)學(xué)區(qū)，但州長愛德華茲稱，出于攻擊可能蔓延至當(dāng)?shù)卣蛑菡渌块T的考慮，因此宣布全州進(jìn)入緊急狀態(tài)。這些網(wǎng)絡(luò)攻擊影響莫爾豪斯、沃西塔和塞賓教區(qū)學(xué)校的 IT 基礎(chǔ)設(shè)施。盡管似乎兩周前即遭到了攻擊，但有關(guān)這些網(wǎng)絡(luò)攻擊的詳細(xì)情況卻并未披露。對(duì)這些學(xué)區(qū)網(wǎng)絡(luò)攻擊事件的調(diào)查已轉(zhuǎn)交州政府及聯(lián)邦政府調(diào)查機(jī)構(gòu)，路易斯安那州國民警衛(wèi)隊(duì)、州警察、州技術(shù)服務(wù)辦公室及路易斯安那州立大學(xué)的網(wǎng)絡(luò)安全專家將負(fù)責(zé)調(diào)查此攻擊事件。

07 美國圣地亞哥聯(lián)合學(xué)區(qū)遭遇網(wǎng)絡(luò)釣魚， 50萬學(xué)生與員工數(shù)據(jù)被泄露。

2018年12月，圣地亞哥聯(lián)合學(xué)區(qū)（SDUSD）逾50萬學(xué)生與50名員工個(gè)人數(shù)據(jù)在安全入侵事件中遭遇泄露。據(jù)悉，一名黑客向SDUSD的人員發(fā)送了魚叉式網(wǎng)絡(luò)釣魚，意欲引誘受害者暴露憑證以便訪問該地區(qū)網(wǎng)絡(luò)服務(wù)。攻擊者訪問了學(xué)生與員工的姓名、出生日期、郵件與家庭地址、電話號(hào)碼、社保號(hào)碼或州學(xué)生身份證號(hào)碼等個(gè)人信息。黑客還訪問了某些員工的薪水支票、工資與直接存款信息、匯款路徑號(hào)碼及銀行賬戶號(hào)碼等財(cái)務(wù)信息。據(jù)SDUSD稱，該事件發(fā)生于2018年1月，這意味著黑客已竊取長達(dá)12個(gè)月的信息。該事件發(fā)生后，受影響員工賬戶已重置密碼。

08 加拿大某大學(xué)因系統(tǒng)遭劫持挖礦，被迫關(guān)閉網(wǎng)絡(luò)。

2018年11月，加拿大的圣弗朗西斯科澤維爾大學(xué)因系統(tǒng)被濫用來挖掘加密貨幣，被迫關(guān)閉網(wǎng)絡(luò)。學(xué)校IT工作人員發(fā)現(xiàn)了被秘密安裝在學(xué)校StFX網(wǎng)絡(luò)中的惡意軟件，它利用學(xué)校的電力和計(jì)算機(jī)資源挖掘比特幣，與網(wǎng)絡(luò)安全專家協(xié)商后，學(xué)校決定禁用全部網(wǎng)絡(luò)以響應(yīng)攻擊。學(xué)校表示，當(dāng)前沒有證據(jù)顯示校園網(wǎng)中的個(gè)人信息遭到入侵或泄露，但出于謹(jǐn)慎，所用用戶StFX賬戶密碼已被重置。由于大學(xué)擁有龐大的計(jì)算能力和網(wǎng)絡(luò)，因此一些學(xué)校系統(tǒng)常被濫用致非法挖掘加密幣。

09 浙江省1000萬學(xué)籍?dāng)?shù)據(jù)在暗網(wǎng)售賣，僅售大約1000元。

2018年8月，根據(jù)“威脅獵人”微信公眾號(hào)披露，其通過暗網(wǎng)監(jiān)測到浙江省1000萬學(xué)籍?dāng)?shù)據(jù)正在暗網(wǎng)上售賣。截圖顯示，售賣的學(xué)籍?dāng)?shù)據(jù)覆蓋了浙江的大部分市區(qū)，被泄露的信息包含了學(xué)生姓名、身份證、學(xué)籍號(hào)、戶籍位置、監(jiān)護(hù)人、監(jiān)護(hù)人號(hào)碼、居住地址、出生地、學(xué)校名稱等。據(jù)悉，除了文字信息，售賣的學(xué)籍?dāng)?shù)據(jù)里還提供有100G左右的照片。從賣家放出的測試數(shù)據(jù)截圖來看，學(xué)籍信息里出生年齡分布在95年~06年，還包含了家人聯(lián)系方式及照片，他們認(rèn)為數(shù)據(jù)的真實(shí)性較高。據(jù)推測浙江省中小學(xué)生學(xué)籍信息管理類系統(tǒng)可能被“拖庫”，也有可能是內(nèi)部人員賬號(hào)泄露導(dǎo)致的問題。

10 俄羅斯教育網(wǎng)站存漏洞，1400萬大學(xué)畢業(yè)生個(gè)人信息泄漏。

2018年1月，俄羅斯技術(shù)社區(qū)網(wǎng)站Habrahabr上，一名昵稱為NoraQ的用戶（黑客）發(fā)文稱1400萬名俄羅斯大學(xué)畢業(yè)生信息泄露，即十分之一俄羅斯人的信息泄露。NoraQ在俄羅斯聯(lián)邦教育科學(xué)聯(lián)督局服務(wù)網(wǎng)站的網(wǎng)站上發(fā)現(xiàn)了一個(gè)SQL注入漏洞，通過這個(gè)漏洞他下載了1400萬名俄羅斯大學(xué)畢業(yè)生信息，這些信息包括姓名、出生日期、個(gè)人賬戶的保險(xiǎn)號(hào)碼、納稅人識(shí)別號(hào)碼、電子郵件地址等。NoraQ表示找到這個(gè)漏洞并沒有花太多時(shí)間。但是下載這份5GB的信息庫卻花了不少時(shí)間。目前，俄羅斯相關(guān)監(jiān)督機(jī)關(guān)尚未對(duì)于此次黑客事件做出回應(yīng)。

無論是由于漏洞利用而造成的被動(dòng)黑客攻擊，還是內(nèi)部人員有意或無意導(dǎo)致的數(shù)據(jù)泄露，都對(duì)于學(xué)校、學(xué)生造成了極為嚴(yán)重的影響。因此對(duì)各學(xué)校、教育機(jī)構(gòu)提出如下建議：

• 一是制定完善網(wǎng)絡(luò)與信息安全規(guī)劃和管理制度，并在實(shí)際工作中予以落實(shí)；

• 二是做好文件備份，避免各種故障或攻擊導(dǎo)致數(shù)據(jù)丟失；

• 三是拒絕弱口令，定期修改密碼，不使用與其他網(wǎng)站相同密碼，防止 “撞庫”攻擊；

• 四是廣泛培養(yǎng)師生安全意識(shí)，不輕信他人發(fā)送信息，勿點(diǎn)擊不明鏈接，防止釣魚郵件攻擊。