2020年突如其来的新冠疫情促使远程教育快速发展,这也为黑客实施网络攻击创造了更多条件。攻击者通常会利用勒索软件、DDoS攻击、钓鱼邮件、系统漏洞等方式实施入侵,而大多数教育机构的系统都比较陈旧,难以抵御相应攻击。卡巴斯基的最新研究显示,2020上半年针对在线教育资源的分布式拒绝服务(DDoS)攻击的数量是去年同期的三倍多。近期,美国联邦调查局(FBI)等三部门联合发布警报称,2020年9月针对K-12学校的勒索攻击比例高达57%。由此可见,教育行业的网络安全形势依旧不容乐观。
《安全内参》对跟踪到的教育行业网络安全事件进行梳理,筛选出近三年比较有代表性的十个事件,为有关部门和单位提供参考,防患于未然。
01
加州旧金山大学遭遇勒索软件攻击后支付114万美元赎金。
2020年6月,加州旧金山大学遭遇NetWalker勒索软件攻击后,攻击者在暗网上将其加入到了未支付赎金的受害者名单行列。三周后,加州旧金山大学发表声明,承认向NetWalker支付了114万美元赎金,同时,其名称也被攻击者从名单中移除。加州旧金山大学表示被勒索软件加密的数据对学术工作非常重要,因此他们只能做出困难的决定支付赎金。声明没有提及备份,由此看来该学校即使有备份也不足以恢复被加密的数据。
02
印度最大在线教育平台Unacademy发生大规模数据泄露。
2020年1月,印度最大的在线教育平台Unacademy发生数据泄露事件,暴露了大约1100万用户的个人信息。网络安全情报公司Cyble发表文章称其收购了2200万个Unacademy用户账户的数据库(Unacademy在声明中指出自己只有1100万用户),该数据库在暗网上的售价为2000美元。Cyble表示Unacademy泄漏的数据包括用户ID、加密密码、电子邮件地址、加入日期和上次登录时间等信息。不过Unacademy在一份声明中表示没有泄露任何敏感信息,例如财务数据、位置或密码等。
03
香港中文大学用Zoom考试遭数名攻击者入侵传播色情内容。
2020年4月,香港中文大学使用视频会议软件Zoom举行通识课程考试,在考试开始约 10 分钟后,聊天室突然有几名日本籍和印度籍人士加入,而且有印度人一直模仿讲师的口音讲话。有学生表示,当时一直有人讲粗口,更有人用「分享屏幕」功能,在聊天室内播放成人影片及印度歌曲MV,以至学生无法正常进行考试。讲师随后立即中止考试,要求学生对着镜头展示自己的学生证,再呈交考试答案。有学生担心自己的个人信息也被这些黑客看到了。Zoom的安全问题也成为2020上半年公众讨论的热点。
04
多地数千高校学生隐私遭泄露,学生信息成偷税公司首选。
2020年4月,河南郑州、陕西西安、重庆、湖北武汉、山东青岛、安徽滁州等多所高校的数千名学生发现,自己的个人所得税App上有陌生公司的就职记录。税务人员称,很可能是学生信息被企业冒用,以达到偷税的目的。基于收集信息齐全、便捷,而且大部分从未就业、极少使用个税App,不容易发现自己的信息被盗用等原因,高校学生成了公司偷税的目标“大户”,而大规模信息泄露的源头往往跟学校脱不了干系。税务人员表示,如果查实是公司冒用了学生的个人信息,对学生的未来就业不会产生影响,只对企业有影响。
05
“月光”蠕虫感染国内高校网络,中毒电脑被远程控制。
2019年10月,根据腾讯安全御见威胁情报中心检测分析,“月光(MoonLight)” 蠕虫病毒感染呈上升趋势,该病毒主要危害教育行业。病毒会搜集受感染系统上的邮件地址,然后伪装成屏幕保护程序文件(.scr)的病毒发送至收件人;还会复制自身到启动目录、download/upload目录、共享目录以及可移动磁盘,具有较强的局域网感染能力;此外,病毒会记录键盘输入信息发送至远程服务器、对中毒电脑进行远程控制、组建僵尸网络,对指定目标进行DDoS攻击。该蠕虫病毒已在教育网络造成较重影响,在9月开学季达到感染峰值。
06
美国路易斯安那州部分学校遭到网络攻击后全州宣布进入紧急状态。
2019年7月,美国路易斯安那州北部三个学区的计算机系统遭到一系列网络攻击导致宕机,尽管事件影响范围只有三个学区,但州长爱德华兹称,出于攻击可能蔓延至当地政府或州政府其他部门的考虑,因此宣布全州进入紧急状态。这些网络攻击影响莫尔豪斯、沃西塔和塞宾教区学校的 IT 基础设施。尽管似乎两周前即遭到了攻击,但有关这些网络攻击的详细情况却并未披露。对这些学区网络攻击事件的调查已转交州政府及联邦政府调查机构,路易斯安那州国民警卫队、州警察、州技术服务办公室及路易斯安那州立大学的网络安全专家将负责调查此攻击事件。
07
美国圣地亚哥联合学区遭遇网络钓鱼, 50万学生与员工数据被泄露。
2018年12月,圣地亚哥联合学区(SDUSD)逾50万学生与50名员工个人数据在安全入侵事件中遭遇泄露。据悉,一名黑客向SDUSD的人员发送了鱼叉式网络钓鱼,意欲引诱受害者暴露凭证以便访问该地区网络服务。攻击者访问了学生与员工的姓名、出生日期、邮件与家庭地址、电话号码、社保号码或州学生身份证号码等个人信息。黑客还访问了某些员工的薪水支票、工资与直接存款信息、汇款路径号码及银行账户号码等财务信息。据SDUSD称,该事件发生于2018年1月,这意味着黑客已窃取长达12个月的信息。该事件发生后,受影响员工账户已重置密码。
08
加拿大某大学因系统遭劫持挖矿,被迫关闭网络。
2018年11月,加拿大的圣弗朗西斯科泽维尔大学因系统被滥用来挖掘加密货币,被迫关闭网络。学校IT工作人员发现了被秘密安装在学校StFX网络中的恶意软件,它利用学校的电力和计算机资源挖掘比特币,与网络安全专家协商后,学校决定禁用全部网络以响应攻击。学校表示,当前没有证据显示校园网中的个人信息遭到入侵或泄露,但出于谨慎,所用用户StFX账户密码已被重置。由于大学拥有庞大的计算能力和网络,因此一些学校系统常被滥用致非法挖掘加密币。
09
浙江省1000万学籍数据在暗网售卖,仅售大约1000元。
2018年8月,根据“威胁猎人”微信公众号披露,其通过暗网监测到浙江省1000万学籍数据正在暗网上售卖。截图显示,售卖的学籍数据覆盖了浙江的大部分市区,被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。据悉,除了文字信息,售卖的学籍数据里还提供有100G左右的照片。从卖家放出的测试数据截图来看,学籍信息里出生年龄分布在95年~06年,还包含了家人联系方式及照片,他们认为数据的真实性较高。据推测浙江省中小学生学籍信息管理类系统可能被“拖库”,也有可能是内部人员账号泄露导致的问题。
10
俄罗斯教育网站存漏洞,1400万大学毕业生个人信息泄漏。
2018年1月,俄罗斯技术社区网站Habrahabr上,一名昵称为NoraQ的用户(黑客)发文称1400万名俄罗斯大学毕业生信息泄露,即十分之一俄罗斯人的信息泄露。NoraQ在俄罗斯联邦教育科学联督局服务网站的网站上发现了一个SQL注入漏洞,通过这个漏洞他下载了1400万名俄罗斯大学毕业生信息,这些信息包括姓名、出生日期、个人账户的保险号码、纳税人识别号码、电子邮件地址等。NoraQ表示找到这个漏洞并没有花太多时间。但是下载这份5GB的信息库却花了不少时间。目前,俄罗斯相关监督机关尚未对于此次黑客事件做出回应。
无论是由于漏洞利用而造成的被动黑客攻击,还是内部人员有意或无意导致的数据泄露,都对于学校、学生造成了极为严重的影响。因此对各学校、教育机构提出如下建议:
一是制定完善网络与信息安全规划和管理制度,并在实际工作中予以落实;
二是做好文件备份,避免各种故障或攻击导致数据丢失;
三是拒绝弱口令,定期修改密码,不使用与其他网站相同密码,防止 “撞库”攻击;
四是广泛培养师生安全意识,不轻信他人发送信息,勿点击不明链接,防止钓鱼邮件攻击。