学生会被电调吗?
我们学校(某普通一本)的教务系统,在本科教学评估的时候被指出了问题(主要是老师反馈学生信息有误或者不及时之类的)。于是学校就重新买了一个新系统,但是旧的教务系统并没有完全拆除,而是作为子系统存在于新的教务系统中。 有一天,我正在上着《数据结构》课(大二上学期),突然电脑屏幕弹出提示:“您正在使用的系统因为数据库故障,导致部分数据丢失,请您及时备份个人数据……” 当时我还没来得及多想(其实后来想了想也挺奇怪的,一般不都是先提示数据库有安全问题需要重启啊什么的么),就听到旁边的同学说:“刚刚辅导员发短信过来让各个班长通知本班同学尽快修改学号密码!” 我一愣,赶紧敲键盘登陆旧系统改了密码(那个时候没有微信也没有QQ,通知学生改密码只能用短信和邮箱,当然通知全校改密码的话也得靠广播站)。
然而这时候悲剧已经发生了:旧系统的后台管理员居然没有关闭“学生资料下载”的功能,也就是说无论是谁只要知道网址就能免费下载我们全部的个人信息(包括身份证号学号和电话号码等个人隐私)。而且更为致命的是,这个网址直接嵌在我们教务处的主页上,你只要输入 http://cjxx.csuft.edu.cn/cdzd.php就可以直接获取整个数据库的文件!而我们的新教务系统也仅仅是更换了界面而已,所有的操作还是原来的套路……也就是说,只要别人知道了这个网址,就可以轻松获取到所有学生的个人信息。
由于我校网络信息中心的管理员效率实在不敢恭维,直到几个同学自己发现了这个问题并通过其他渠道反应给了学校领导,才终于把这个漏洞给堵上了(据说发了校内通报表扬)。至于这个网站被人搜索到了没有,泄露了多少信息,我想那只能由校领导和网络中心负责人来背锅了。 值得一提的是,虽然当时的教务处处长换了又换,但是这个漏洞一直存在,以至于后来的学生们在查找毕业资料的时候就经常看到这个提醒。(补一条,后来我们这个专业搬到另一个校区以后,新校区的网络管理更是混乱,据说有人在学校论坛上贴出了学校核心网络连接的账号和密码……)