考研人的报名信息被泄露，一定要当心骗子【每日话题11.30】

先转一则媒体的报道，当然这则报道点出了今年考研的网上报名人数，不过报名人数和实际参加考试人数是两个概念。

全国硕士考试报名信息遭泄露 1万5买130万用户数据
2014年11月30日07:20    来源：中国新闻网   

　　据经济之声《天下公司》报道，如今的互联网时代，大家或多或少都经历过这样的情况：刚网购完东西，就接到类似产品的推销电话，或者刚报完名考试，卖考题、卖答案、办培训班的就打来电话了……

　　个人信息的泄露，防不胜防。这次就发生在报名参加2015年全国硕士研究生招生考试的用户身上。

　　2015年全国硕士研究生招生考试即将于2014年12月27日至29日举行。就在11月25日，教育部还召开了考试安全工作视频会议。但就在开考的前一个月，网上出现有人出售截止到2014年11月份的130万考研用户的信息。乌云网联合创始人邬迪今天接受《天下公司》采访时说，有乌云网用户透露，怀疑考研报名数据遭到泄露。

　　邬迪：昨天我们对外预警了四六级考试官网的一个漏洞，在下面的评论里，有网友就提供了一个线索：他怀疑考研报名的这个数据库被“脱裤”了。就是说这些报名信息被人拿走了，因为很多人都接到这种卖考题、卖答案、办补习班的那种电话。网友说了，我们觉得这个事情很严重，就马上发动了白帽子等社区力量帮我们调查。正好很巧，有个白帽子说，他在群里看到过有人在公然出售这个数据。

　　邬迪刚提到的“白帽子”，简单说就是这样一种黑客，他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布这个漏洞，让系统可以在被其他人利用之前来修补漏洞。与之相反，那些研究攻击技术非法获取利益的，就是所谓黑帽子了。

　　乌云网联合创始人孟卓表示，根据社区白帽子提供的线索，乌云网了解到，卖家所出售的数据可不光涉及到考研用户的姓名、性别，而是包含一系列敏感数据，并且卖家已经是二道贩子、三道贩子，甚至更多，也就说相关信息已经被多次转卖。

　　孟卓：这个数据当中包括考研者叫什么名字、性别，还有手机号码、座机号码、身份证号、家庭住址、邮编、学校、报考的专业等敏感信息，非常详细。整个数量大约130万，卖家的打包价是1万5000。后来问，这个数据是不是独家的？卖家说不是，这个数据很多人都有了，所以才会卖这个价格。

　　孟卓告诉记者，不少考研报名者已经多次接到骚扰电话：卖考题、卖答案、办培训班……不胜其烦。

　　孟卓：其实我们看到10月份的时候，有白帽子在乌云网上报过相关的这个漏洞。我们为了核实，根据一些数据也跟上面的报名者联系，打了几个电话，确实是报名考研的人，接过很多电话，各种被骚扰。我们打电话问的时候，有的报名者已经很不耐烦，就说你们到底要干嘛！

　　对信息被泄露的考生来说，目前并没有太好的办法规避风险，至少别轻信那些售卖考题的。乌云网联合创始人邬迪表示，对于数据泄露的原因，目前乌云网正在进一步调查的过程中。

　　邬迪：这个泄露环节很多，比如像系统漏洞导致的泄露就是很直接的，也是网络上的攻击者经常用的一种，就是外部的人通过一些漏洞进去把数据库“脱裤”，这也是乌云网上看到的最多的。另外，也有可能是内部原因比如管理不当等。我们现在只是猜测，正在调查中，还没办法确定到底是什么原因。

　　作为立足计算机厂商和安全研究者之间的安全问题反馈及发布平台，用户可以通过乌云网在线提交发现的网站安全漏洞，企业用户也可通过平台获知自己网站的漏报。邬迪坦言，现在发现的漏洞越来越多，每年都以成倍的速度在增长。

　　邬迪：现在每天后台都能看到有几百个漏洞在提交，一般200个以上。目前的趋势看，漏洞的数量是迅速递增的。去年一年，我们大概收到4万多个漏洞，前年是2万多个，再往前是1万多。我们最初收集到的更多的是互联网公司的漏洞，现在这块也比较多。过去没有在互联网上的一些系统，比如政府、金融的一些系统都是在局域网或者要去柜台办理的，但近年来，这些系统也逐渐搬到互联网上，出了很多问题，漏洞在增加。

　　邬迪说，要防范并及时弥补漏洞，并不容易。

　　邬迪：一些大型的金融机构、互联网企业等，一般有专职的安全团队去做，但是对于普通企业，特别是互联网金融、O2O等很多创业型公司，早期可能就是程序员、开发人员做一些业务，但现在能力上、经济实力上或者关注点上还没到安全这一块，所以问题比较多，短期内也比较难解决，可能会原来越多。

(来源:中国新闻网)


上文提到了的乌云网，前几天在知乎上写了这么一篇文章。有时间可以看看

黑客：我在五维空间盯着你（对就是你）
http://zhuanlan.zhihu.com/wooyun/19902316

前几个礼拜，论坛上就有人发帖说信息可能被泄露了，然后现在已经被证实了。

是谁泄露了考研人的报名信息？
http://bbs.freekaoyan.com/thread-890058-1-1.html

转一篇长微博，作者是 风流萧然

不一定有说的这么恐怖，但还是要留个心眼的。

考研考生资料被泄露影响到底有多大？
http://weibo.com/p/1001603781625912681333
2014年11月27日 21:02
好久不上网了，今天研友突然跟我说知乎终于有人出来说考研130万考生资料被泄露的事了。我就难以自持的看了一下乌云君的专栏文章。下附原文链接：
黑客：我在五维空间盯着你（对就是你） - 乌云君 - 知乎专栏
http://zhuanlan.zhihu.com/wooyun/19902316#comments

看了乌云君的文章，我脑洞又大了起来！这件事看似不大，但让我不禁联想起前阵所发生的一系列事情。所以我突然就想说点什么了。抽了点空，晚上来码码字哈。
==========================================================
事情是这样的：
由于考研报名制度采取网报的形式，所以所有考生都会在学信网和研招网上填写自己的详细资料。而今年就在考研之前发生了考生资料被泄露的现象。考生130万以每条1毛钱的价格出售，个人资料包括全到不能更全！（姓名，性别，家庭住址，家庭成员，报考方向，等等等等）
证据：
考研网某系统未授权访问(泄露账户密码)
和上面的乌云君专栏
事情的反思：
个人资料的泄露在我们平时的生活中简直太常见了，相信大家在对待这种情况的时候都是主动地忽略掉他。但是，其实我们每个人的个人信息都属于我们自己的隐私，任何一个以出售他人信息为盈利手段的行为都是违法行为。但这次，我认为尤为严重。这件事是值得某政府认真对待的。
联系前阵发生的事，我举个简单的案例。
加入我是一名某国潜伏在天朝的情报间谍人员。那么我会毫不犹豫的购买下着130万的详细资料，区区13万RMB就可以获得如此宝贵的信息，这生意太值了。在考研成绩出来之后，我会给我所关注的报考方向的考生发送一条这样的短信：
“XXX同学你好，我是你所报考的XXX大学XXX专业的XX负责教师，由于你已经通过了初试关于面试的问题想和你通个电话跟你说一下不知道你是否有时间？”
我想是个正常考生就不会忽视这条信息。
有两种回复方式：一、考上了的：老师您好，我有时间随时都可以给我电话。二、没考上的：？？？or老师是不是弄错了，我好分不够or压根就不回复。这都不重要，因为我只关心考上了的。
我的目的只是缩小范围。
等开学前，再发一条短信：
“XXX，我是关于你的学籍调档问题有些问题，你方便接电话吗？”
我的目的是确定考上的。最后剩下的这些人数我想不到1000也的有800吧！
之后要干什么就是个好问题了。首先，这些优秀的考生有着接触我所想要的信息的机会。那么我可能会在一年之后再联系这些人，使用两种方法。利诱，威逼。套取我所需要的资料。
这个时候，这些人能如何选择？利诱不接受，那就以他的家人作威胁。反正家庭住址父母职业我都知道。如果实在不行，就做些什么比如做掉某个家庭，采取杀鸡儆猴的方式。以图让这些考生明白除了和我合作你们别无选择。这时候这些考生会非常慌张，报警？你跟警察说有外国间谍威胁我家庭你看警察会不会管你！呵呵。再说研究生这么多人，政府能管得了多少？最后最好的结果，就是这些考生都被禁止接触学习相关方向。但这对于这些考生来说，无疑使巨大的损失，他们既然报考了这些专业最后我无法接触这些东西。
如果觉得我的脑洞太大，那我举个例子，日本，韩国，朝鲜，台湾，印度。或许美英法德人家看不上咱，但就咱周边的这些地儿来说，这么做的利益如何不言而喻。研究生考生不比普通平民，在户口上就已经区别开来。国家是以知识分子的角色对待研究生，那么这些人的个人信息所包含的价值其实远远不止表面上这些“机密资料”的骗子所看到的大的太多。我曾在某些媒体的贴吧说过此事，但至今我从没听到有任何媒体报道过此事。
我写这些只是希望这件“小事”能够的到应有的重视，如果大家觉得我说的还有几分道理，不妨推荐给有能力负责此事的人来了解一下情况。考生信息，淘宝出售。都倒了江户四十八手了~~
国家安全从何谈起？千里之堤溃于蚁穴。联想到前一阵XX的事件，我想这件事并不是那么不切实际。
====================================================
今天，似乎“机密资料”的骗子们又有了新招，自动服务了，都开始人工服务了。一上来“XXX啊，你明天立刻来我办公室！”反正我是在考研确认之后（缴费成功）开始出现的广告电话及短信。
====================================================
2014.11.27 首发与知乎、百度哈工大吧、新浪微博
转载请注明出处

考研信息被泄露，考研er接到陌生电话和短信应如何处理  转自 每日考研笔记 的微博http://weibo.com/1741294691/BywH8c1uu?type=comment

每日话题呗\^O^/

好可怕！肿木办呢 经常换号码么

还好，没收到过，感觉不错，如果真是只有130万，那下降的真多啊。不知会不会好考些。不过，多少人还真没关系，过线才是王道。

烦不胜烦，而且每次电话号码都不同，好危险的感觉

把那家伙揪出来，做死他

每天都有北京的，南昌的等地说有考研答案，背两天就过，不厌其烦，还好手机可以智能拦截。