起因

信息安全实在是太重要太重要。不过,在疫情时代下,公民个人隐私信息泄露已经是家常便饭了,今天,来给大家看看,通过合法手段(指在通知群里面拿到的数据),获取到的个人隐私数据,能反映出什么问题。

关于校园网

校园网大伙都不陌生,有些是学校自己搭的,有些是外包给运营商来做的。今天我们故事的主人公——某某大学,有自己的校园网,但是这个校园网,有一个问题。就是校园网的默认账号是学生的学号,密码则是学生本人的身份证号后六位。乍一看,这也没什么,起码默认密码不是123456。但就是这样的设计,造成一个问题。学生会认为:别人又不知道我的身份证,所以我直接用身份证后六位这个默认密码,很安全呀!然而,正式这种想法,让许多人的校园网账号在裸奔。

关于信息泄露

进入疫情时代以来,人们开始大规模的使用许多的线上在线文档,办公协作,还有视频会议软件。这些软件在大大方便我们生产工作的同时,也为我们埋下不小的信息安全隐患。举个最常见的例子,很多在线填写信息的excel表格,往往是多人在同一个界面填写信息,这其中有些是敏感信息,比如学号,身份证号,手机号等。如果有人别有用心,这些信息就会被他们收集起来,拿去做一些坏事。这就是说者无心,听者有心。但大多数情况下,许多的信息泄露都是发送文件的人,为了图省事,就直接把整个包含所有人的信息的excel表格直接发出去了,这也是今天这个故事的起因——用各种通知群里面发出来的文件,获取到身份证号,学号等个人信息,然后使用Python的小爬虫进行模拟登录,找出某某学院的21级新生中有多少人校园网还在用默认密码(身份证后六位)。

测试回放

首先呢,在年级的大群里,俺们辅导员曾由于失误,一不小心把整个学院(四个年级+所有研究生)本科生和研究生的个人信息(包括学号,手机号班别年级等)都给发出来了。很快地,辅导员就撤回了。但是呢,我的QQ是装有QX模块的,里面有个防撤回功能,然后我当时就点进去看了,好家伙,这是整个学院的个人信息呀,这要是被不法分子拿去倒卖,咱都得被诈骗电话给打爆呀呜呜呜。故事到这里,还没有学生们的身份证号,所以此时学生们的校园网账号还算安全,当然有了手机号也可以上TG用红鼻子社工库来查,不过信息真实性不高没有太大价值。

然后,这件事就这么过去了。很快啊,一个月过去了,准备到期末周了,某一天中午,我闲着无聊,想着,如果我用合法的手段(比如各种通知群中发出来的excel表)来获取数据,我能获取多少个人信息?想到这里,我就觉得非常兴奋,因为各种各样的群里面每天都在发着许许多多的通知,这些通知包括许多的excel表。经过我一阵地毯式搜索,我在班群里找到一个非常重磅的文件——一个有着某某学院21级新生身份证号的excel表。这个excel表本来是统计了那些尚未激活学校帮开户的银行卡的学生名单,本来这么一个文件是不应该有身份证号的,但是我猜测,这个文件是辅导员从院里面拿到,然后图方便直接发给各个班的班委,从而造成了这样一个大范围的信息泄露,只有少部分已经激活卡的人没有出现在上面。至此,登录校园网所需的账号密码都有了,接下来就是写一个爬虫自动跑一下就可以了。

爬虫测试

首先我自己抓了一下包,抓到了登陆请求,竟然用的是GET请求,密码是明码发送,Emmmm这就导致了这个爬虫的门槛很低。然后又抓了注销接口,然后导入了750个新生的学号和身份证号信息。接下来就是RUN了。

爬虫结果

结果非常非常的出乎意料,在这750名新生之中,竟然有649名大意的同学还在使用身份证后六位这个默认密码,这个真的是非常的不安全呢!!!

一些话

很多信息泄露,都是说者无心,听者有心,很多时候都是发文件的人太懒了,都不想把敏感信息给抹除,就直接把文件下发给各班的班委,然后班委大部分时候都是单纯的转发消息,并不会抹除个人信息。能让他们不直接发出来的信息,一般都是成绩呀,排名呀,我只想说,难道这些信息能比身份证和手机号更重要???最后,我想说一下我的军概老师,她的信息安全意识就非常的强(因为她QQ被盗了,所以对信息安全非常敏感),想让我们每个人知道考试序号,但是又害怕把有整个班学生姓名的excel发出去会不太好,她就在上课的时候一个一个地将考试序号念给我们听。她真的好贴心呜呜呜,我哭死