校园网安全问题

起因

信息安全实在是太重要太重要。不过，在疫情时代下，公民个人隐私信息泄露已经是家常便饭了，今天，来给大家看看，通过合法手段（指在通知群里面拿到的数据），获取到的个人隐私数据，能反映出什么问题。

关于校园网

校园网大伙都不陌生，有些是学校自己搭的，有些是外包给运营商来做的。今天我们故事的主人公——某某大学，有自己的校园网，但是这个校园网，有一个问题。就是校园网的默认账号是学生的学号，密码则是学生本人的身份证号后六位。乍一看，这也没什么，起码默认密码不是123456。但就是这样的设计，造成一个问题。学生会认为：别人又不知道我的身份证，所以我直接用身份证后六位这个默认密码，很安全呀！然而，正式这种想法，让许多人的校园网账号在裸奔。

关于信息泄露

进入疫情时代以来，人们开始大规模的使用许多的线上在线文档，办公协作，还有视频会议软件。这些软件在大大方便我们生产工作的同时，也为我们埋下不小的信息安全隐患。举个最常见的例子，很多在线填写信息的excel表格，往往是多人在同一个界面填写信息，这其中有些是敏感信息，比如学号，身份证号，手机号等。如果有人别有用心，这些信息就会被他们收集起来，拿去做一些坏事。这就是说者无心，听者有心。但大多数情况下，许多的信息泄露都是发送文件的人，为了图省事，就直接把整个包含所有人的信息的excel表格直接发出去了，这也是今天这个故事的起因——用各种通知群里面发出来的文件，获取到身份证号，学号等个人信息，然后使用Python的小爬虫进行模拟登录，找出某某学院的21级新生中有多少人校园网还在用默认密码（身份证后六位）。

测试回放

首先呢，在年级的大群里，俺们辅导员曾由于失误，一不小心把整个学院（四个年级+所有研究生）本科生和研究生的个人信息（包括学号，手机号班别年级等）都给发出来了。很快地，辅导员就撤回了。但是呢，我的QQ是装有QX模块的，里面有个防撤回功能，然后我当时就点进去看了，好家伙，这是整个学院的个人信息呀，这要是被不法分子拿去倒卖，咱都得被诈骗电话给打爆呀呜呜呜。故事到这里，还没有学生们的身份证号，所以此时学生们的校园网账号还算安全，当然有了手机号也可以上TG用红鼻子社工库来查，不过信息真实性不高没有太大价值。

然后，这件事就这么过去了。很快啊，一个月过去了，准备到期末周了，某一天中午，我闲着无聊，想着，如果我用合法的手段（比如各种通知群中发出来的excel表）来获取数据，我能获取多少个人信息？想到这里，我就觉得非常兴奋，因为各种各样的群里面每天都在发着许许多多的通知，这些通知包括许多的excel表。经过我一阵地毯式搜索，我在班群里找到一个非常重磅的文件——一个有着某某学院21级新生身份证号的excel表。这个excel表本来是统计了那些尚未激活学校帮开户的银行卡的学生名单，本来这么一个文件是不应该有身份证号的，但是我猜测，这个文件是辅导员从院里面拿到，然后图方便直接发给各个班的班委，从而造成了这样一个大范围的信息泄露，只有少部分已经激活卡的人没有出现在上面。至此，登录校园网所需的账号密码都有了，接下来就是写一个爬虫自动跑一下就可以了。

爬虫测试

首先我自己抓了一下包，抓到了登陆请求，竟然用的是GET请求，密码是明码发送，Emmmm这就导致了这个爬虫的门槛很低。然后又抓了注销接口，然后导入了750个新生的学号和身份证号信息。接下来就是RUN了。

爬虫结果

结果非常非常的出乎意料，在这750名新生之中，竟然有649名大意的同学还在使用身份证后六位这个默认密码，这个真的是非常的不安全呢！！！

一些话

很多信息泄露，都是说者无心，听者有心，很多时候都是发文件的人太懒了，都不想把敏感信息给抹除，就直接把文件下发给各班的班委，然后班委大部分时候都是单纯的转发消息，并不会抹除个人信息。能让他们不直接发出来的信息，一般都是成绩呀，排名呀，我只想说，难道这些信息能比身份证和手机号更重要？？？最后，我想说一下我的军概老师，她的信息安全意识就非常的强（因为她QQ被盗了，所以对信息安全非常敏感），想让我们每个人知道考试序号，但是又害怕把有整个班学生姓名的excel发出去会不太好，她就在上课的时候一个一个地将考试序号念给我们听。她真的好贴心呜呜呜，我哭死