揭考生信息贩卖黑色链：4000元打包一个省考生数据

核心提示：徐玉玉的死激起了轩然大波，人们在同情这个姑娘的同时，再一次点燃对骗子的仇恨。目前，山东警方已就此案成立专案组，力求早日破案。

8月21日，18岁的徐玉玉离开了人世。

徐玉玉是今年的高考生，已经被南京邮电大学录取。8月19日，她接到了一个电话，最终将全家人省吃俭用攒下来的9900元学费全部汇给对方。在确认自己受骗选择报警后，在回家路上，她呼吸骤停，抢救无效后死亡。

徐玉玉的死激起了轩然大波，人们在同情这个姑娘的同时，再一次点燃对骗子的仇恨。目前，山东警方已就此案成立专案组，力求早日破案。

骗子如何能获知徐玉玉的高中毕业生身份，进行精准定位的诈骗呢？这成为这场悲剧留给众人的一大疑问。

暴利，来钱快，使得加入倒卖个人信息的人越来越多，这已经成为了一个黑色产业链。在交易市场中，被贩卖的信息都有着明码标价。据有关人士透露，一手的学生数据，售价约1-2元/条，大量采购还有优惠。相比于学生的信息，电商、银行、保险、股市交易的数据价格更为抢手，价格也更高。而买这些数据的人，都是拿来骗人的。

现状

倒卖学生数据成风

由于普遍不具备经济能力，且资金不充裕，学生群体并非电信诈骗的重灾区。但这并非意味着学生群体安全系数高。事实上，在记者接触的多类群体中，学生信息堪称“最没有安全保障”的一类。

近日，记者接触到数个倒卖用户数据的业内人士，其中3人告诉记者：“只要你听说过的学校，不论大学、中学、小学，(它们的数据)都有。”

其中一位人士向记者展示的上海某知名大学数据，包含了学生姓名、学号、性别、年龄、身高、体重、联系方式、专业等详尽信息。此外，该人士表示可以拿到“全国中小学生学籍信息管理系统”，包括学籍号、学校、入学方式、住址、家庭成员等等。该人士表示， “国内学校，有一半数据我都有。即使手头没有的，只要你告诉我名字，我也都能拿到。”

全国中小学生学籍信息管理系统，是由教育部在2012年开始实施上线的系统，旨在对全国范围内的学生注册、学生信息维护、毕业升级、学籍异动实施信息化管理，全国超过1.4亿名中小学信息存储在该系统上。

根据多位人士报价，“新鲜出炉”、“没有卖过”的一手学生数据，售价约1-2元/条，大量采购还有优惠。而二手的数据，基本低于1毛，如果批量购买，1万条二手数据约300-500元。在整个数据黑色产业领域，学生数据售价偏低，相比之下，一些从淘宝、京东、唯品会等电商平台流出的一手数据，售价在3-5元以上，高峰期售价一度达到20-30元/条。除此之外，在数据黑产中，电商、银行、股市、车辆交易等数据应有尽有。在上述业内人士看来， “买数据的，都是拿来骗人的，学生基本骗不到钱，数据卖不上价，乡镇之类学校的数据都卖不出去。”

10年前，学生数据要比现在值钱。一位北京某学校教师告诉记者：“倒卖生源数据的漏洞长期存在。很多民办大学会借合法专业的名义搞非法成教、网教来招生。每年高考之后，他们就从各省买考生数据，当时一个省考生数据售价几十万元。每年卖出十多万的名单。”

对于开设成教、网教教育的学校而言，“高分学生数据不值钱，都是白送，分数低的才值钱。拿到数据之后，学校安排话务组开始打电话，几天就能招50-60人。”该教师告诉记者：“有的学校每年因此盈利上亿元，2006年左右，吃这碗饭的人粗略估计有20多万。”

“学校、教师、教育局、招生办，能拿到学生数据的部门太多了，很多人都可能成为泄露数据的源头。不光卖学生数据，学校教师的数据也都被卖出去了，老师天天都接好多推销电话”，该人士回忆称：“2008年之后，主管部门发文明确倒卖生源数据是违法行为，但也没有控制住。后来，因为生源减少，公立专业都招不满，民办的招不到生源，这个生意才淡下来。”

几分钟攻破学校漏洞

行业内市场衰落，行业外的电信诈骗、广告推销市场则开始兴起，而大量的学生数据流入黑色产业。

“数据流入黑产的途径有三种，”数据库安全企业安华金和的安全专家告诉记者，“一种是接触到数据的工作人员泄露数据，一种是黑客入侵目标获取数据，还有一种是第三方IT系统服务公司在提供服务时获取数据并泄露。”

一位教育信息化资深人士告诉记者：“学生数据存放在很多地方，学校、招生办、教育机构等等。目前中小学数据教育部会提供统一平台，但大学数据，则存储在各个大学自己手中。”数据存储渠道的多样，增加了接触数据人员的数量，也无限放大了内部人员泄密的风险。

另一方面，多位来自信息安全领域的权威人士告诉21世纪经济报道记者：“教育行业的信息安全能力普遍极低。”在360旗下补天漏洞平台上，最近两年内提交的相关教育机构的漏洞超过1100条，“实际上远比这多，主要是教育机构漏洞太多，白帽子都懒得去测试，因为没有成就感。随便一个入门的黑客，都能搞定绝大多数学校系统，几乎不耗时间，甚至只需要敲几下回车就可以。”

一位信息安全资深人士对某部委直属大学做了测试，仅用几分钟即发现了该大学的漏洞，目前该大学已经修复该漏洞。需要指出，根据补天漏洞平台信息，该平台上最近两年内提交的清华大学、北京大学也均在50个左右。此外，近年来，因为“套号学历”、“学历造假”等事件，教育部指定的学历查询唯一网站学信网被屡次质疑，不过，教育部多次回应中强调“学信网安全”、“没有漏洞”。

2014年、2015年，教育部与公安部先后联合印发《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》，在全国开展信息系统安全等级定级备案工作。两份通知中，学生的学籍、学位等信息管理系统大多列入第三级等级保护。教育行业最高安全保护等级为第三级。

根据相关要求，私密级、绝密级、机密级信息系统的安全防护水平分别不低于第三级、第四级、第五级。根据人民银行发布文件，银行部分系统最高防护等级为第四级。

前述教育信息化行业人士告诉记者： “从这两年分析的结果来看，信息安全，是一个全社会都漠视的问题，需要所有企业、机构去提高重视程度，靠公民提高安全意识，根本没用。”

调查

高考生数据，打包5000元

本应该保密的考生个人信息，却可以轻易从互联网上获取。

8月24日，记者在网络上发现了大量出售、收购考生信息资料的QQ群。经过身份验证后，记者加入了其中一个名为“考试数据”的QQ群。

刚进群不久，群主“出售考试名单”就主动添加记者为好友。对方个人资料里写着“车主、研究生、房地产估价师……”等标签，记者询问其是否出售考生资料，对方很快答复：“去年研究生考试160万考生数据都有，4000元一个省。今年高考考生数据不多，要的话打包给你，5000元。”随即，对方发过来一张截图，上面的文件名分别为“湖南全省”、“重庆”、“江苏”等7省市数十万名的考生信息。记者问为何只有少数几个省市的高考考生数据，对方称“渠道不同，数据和数据当然不一样了，今年高考考生的数据难搞了。”

有人找高手入侵指定网站

同样在这个QQ群内，也充斥着大量求购这类考生数据的买家。一个昵称是“求稳定报考数据商”的买家，表示“只收一手二级建筑师，高考没有钱的，不收”。当记者细问为什么没有钱时，对方就不再说话了。另外，一些备注昵称为“李老师”、“王老师”等自称招生机构老师的人，还在群内招揽群发短信或者打电话的业务。

在这个QQ群观察两天后发现，这里几乎包含着整个围绕个人隐私信息的收购、出售、提供群发服务的灰色产业链。除了出售、收购个人信息者外，还有不少昵称为“短信中心”、“呼叫中心”的群内成员。一个名为“短信平台”的群成员在群内发布“大量发助考广告，联通、电信可以一起发，移动小量发送，需要发广告的朋友赶快联系”。

昨天，一个昵称为“前奏”的网友在群内发布了一条“找高手入侵指定网站，长期有单”的消息。记者询问对方要入侵哪些网站时，“前奏”发来了一张2016年考试时间表，并表示“今年没考的基本上可以，除了雅思、托福这种考试，银行从业、会计等都可以。”对方声称是一家注册过的公司，所收集的这些数据将用于“卖助考材料、书籍、培训等”，并向记者承诺，如果记者能够拿下银行从业考试的数据，“起码五万”。当记者询问网上这些考生数据来源时，对方说了一句“数据库”就匆匆下线了。

黑色链上分工特别明确

北京众安天下负责人、知名白帽子“301”杨蔚对于考生个人信息安全曾做过专门的研究。他讲诉了这些泄露的数据是如何一步步汇入黑色产业链的。“这些信息非常有价值，有人买就有人卖。既然下游有人愿意花钱，那自然就会有黑客去攻击这些目标。黑客非法获取这些信息，拿到数据以后，就会有人接手。这里面还有大量二道贩子的存在，在中间赚差价。”杨蔚说，这个链条上的人分工特别明确，而且都是“专业”级别的团队操作。“有些人会专门去联系相关的培训机构或诈骗团伙，从而把手上的数据卖到下游。而下游这些团队，有专人负责诈骗的话术编写培训、线上通过第三方支付平台洗钱、线下ATM机提款等，分工非常明确。”

在分析山东女生受骗的这起事件时，杨蔚称徐玉玉的个人信息一般有两种情况可能被诈骗集团掌握。一种是教育机构环节中某个人主动向外售卖，另一种则是黑客从系统中盗取了她的个人信息。不管是哪种方式，这条信息最终都被下游的诈骗团伙拿去利用了。

这些考生的个人信息在地下流通时能获取多大的利润呢？杨蔚表示，地下产业链里的数据跟市面上做代理一样，每个人拿的市场价格不一样，没有一个非常标准的价格。“一些未成年的黑客往往对金钱没有概念，最低几百元可能就会卖到中间商手中，然后有一些中间商会以几万元的价格卖到下游。有些职业的黑产团队，拿到一些信息可能会卖到几十万甚至上百万。”杨蔚说，有些时候这些信息也可能会按条算钱，例如一名考生信息定价为“一分”。

“有的数据是第一手的，没有人碰过的，价格就会非常高；如果数据已经被利用过很多次，就会变得非常廉价，因为在诈骗团伙看来，经手太多就意味着价值缩水。”

教育系统成攻击目标之一

在杨蔚看来，一些黑客哪怕只是掌握了这一领域的皮毛，想去攻击一些地方政府机构、教育机构的网站就已经很容易了。

杨蔚发现，近年来针对考生的个人信息安全事件层出不穷，每年都会发生类似的情况。“这从侧面说明，教育系统已经成为黑客攻击的目标之一。”在杨蔚看来，一方面政府系统、教育机构还有一些公司网站，安全系统非常薄弱，本身就存在很多漏洞，攻击难度低，这样的情况下黑客获取信息会比较容易。另一方面，绝大多数这类网站，没有专人去负责信息安全，甚至在被黑客攻击后也察觉不到。“级别越低的单位，因为在信息安全上的投入也相对较低，其安全性就更差，更易被黑客攻击。”

山东又一学生疑被骗离世

就在徐玉玉受骗事件备受关注之时，同样来自山东临沂的大二学生宋振宁，在8月18日接到诈骗电话被骗之后，于8月23日凌晨心脏骤停，离开人世。

据澎湃新闻报道，临沭县的大二学生宋振宁，在8月18日接到一个来自济南的陌生电话，被告知自己的银行卡号因被人购买珠宝透支了六万多元。据宋振宁的家人回忆，骗子能够清楚的报出宋振宁的银行卡和身份信息，这成为宋振宁上当受骗的关键。最终宋振宁在银行给对方转去了2000元。回家路上跟亲戚聊起这件事，才意识到自己上当受骗。而后宋振宁选择了报警。但在此之后的8月22日，那个陌生电话再次联系宋振宁让其还款，宋的老师和同学称，宋振宁不知何故将自己的生活费及家中现金存入了银行卡，当天下午发现卡内的金额都不见了。

懊悔不已的宋振宁在晚饭时跟父母说起了受骗的事，他的父亲还宽慰他钱没了可以再赚，别太难过。然而在8月23日凌晨，宋振宁的家人却发现他躺在沙发上一动不动，走近才发现他已经停止了呼吸。后经医生确认，宋振宁死于心脏骤停。

泄露信息最高可判7年

据了解，目前信息买卖已形成黑色产业链，以银行卡信息泄露为例，开发制作、批发零售、诈骗实施和分赃销赃等各个环节分工明确。一些互联网企业安全防范上存在漏洞，沦为黑客和不法分子盗取用户信息的突破口。

一名业内人士表示，目前个人信息泄露的源头呈现多样化趋势，其中以“技术类”窃取方式最多。不少黑客通过伪基站发送钓鱼短信、木马病毒或免费WIFI、恶意APP等方式，侵入个人手机或某些网站数据库盗取信息，甚至可通过改装POS机提取银行卡信息等手段，轻易盗取用户银行卡信息窃取对方财产，一些不正规的公司、机构也会将客户信息贩卖出去。

“去年11月施行的《刑法修正案(九)》进一步加强了对公民个人信息安全的保护，新设了侵犯‘公民个人信息罪’，规定侵犯公民个人信息罪最高可判7年。”亚嘉律师事务所律师孙文锋表示，该修正案将非法获取公民信息罪变更为侵犯公民个人信息罪，并提高了量刑标准。市民如果遇到个人信息遭遇泄露的情况要立即报警，由警方依法处理。同时，市民也应当树立防范意识，不要在不正规的网站进行身份信息注册，从源头上避免信息流失。

上海曾有学生被骗70余万

今年1月18日，同济大学2013级中法工商管理女大学生小王，在莘庄地铁站去实习单位浦东振华重工(4.870, 0.00, 0.00%)的路上失联。第二天，松江警方在浙江绍兴找到小王，并证实小王系遭遇电信诈骗。

据悉，小王接到一名自称是联通的“客服来电”，说她的个人信息被不法分子利用，涉嫌一宗巨额信用卡诈骗，她和家人都有生命危险。随后骗子同伙又冒充警方将其诱导至所谓“安全基地”绍兴，又以将资金转移到安全账户的名义，共被骗取70余万。

【新闻链接】

刑法修正案解决打击信息泄露两大难题

针对公民信息泄露，《刑法修正案（九）》进一步加强对公民个人信息安全的保护，第二百五十三条规定：

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；　情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三项罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照该款的规定处罚。

在业内人士看来，从“非法获取公民信息罪”到如今“侵犯公民个人信息罪”，在两方面改变了过去法律法规中对于解决信息泄露的难点问题：“这一法律条文没有特定的对象，这意味着不仅是政府部门、金融机构、通讯部门、教育医疗机构，也包括中介企业、物流快递、网站等各行各业，只要存在符合条款所描述行为的主体都要受到制约。”此外，这是一项独立罪名，即无需真正造成被害人损失，只要犯罪事实存在即可认定。

记牢这三点，可躲开航班取消骗局

日前，重庆又有一位大二女生，因接到了航班诈骗短信，被骗走6100元学费。

近年来，航班诈骗短信层出不穷，尤其是谎称航班取消的短信，让旅客防不胜防。携程、去哪儿等知名旅行网站提醒：收到不明短信后，应第一时间联系航空公司或订票网站查询求证。另外，航空公司因自身原因导致航班取消的，会全额退款。签转、变更都是免费的，不会向乘客收取任何手续费。

●及时验证信息真伪

此类案件有一个共同特点：乘客接到的改签通知或订票网站，提供的电话号码多为400开头的电话。400电话原本是一些有知名度的企业为方便服务客户，向电信部门申请的由企业付费的电话。但这种电话也被一些别有用心的人利用，申请到400电话对他们来说并不复杂。

去哪儿网机票专家提醒消费者，收到此类信息后，应第一时间通过航空公司官方电话或购票网站进行确认，切勿轻信来路不明的信息，更不要拨打短信中提示的陌生号码。

●航班变动免费退改签

根据航空公司规定，因非旅客原因造成的航班延误或取消时，办理退改签是免费的，不需要交手续费。如果短信或者电话中要求收取手续费，则极有可能是诈骗，应立即拒绝要求和停止沟通。

●索要卡号的都是骗子

涉及付款时，诈骗分子往往会引导消费者通过输入验证码、转账的方式实施诈骗，遇到转账要求时应马上拒绝，切勿提供自己的银行账户、卡号等信息。正规网站往往采取网银或第三方支付平台进行在线支付，有安全保障。

除了航班取消短信，骗子还爱玩这些花招

●机票保险低价高售

如今，不少旅客在预订机票后，都会加购一份航空意外险或航班延误险，为行程增添保障。一些黑心代理商也玩起了猫腻，利用消费者疏于核对的心理，赚取非法利益。

据一些业内人士介绍，航空意外险的水很深，由于投保人用上该险种的概率很低，一些代理商会冒险出售虚假保单。另一些代理商，虽然卖的是真保险，但却是将保金为5元、10元的低价险种，来替代20元、30元的高价险种卖给消费者。

航班延误险，玩的则是“事后补保”的把戏，凭借和保险公司的良好关系，代理商只会选择一些航班延误可能性较大的航班投保，其余的保费，则自己截留了。万一消费者出险，就用保险公司的名义，自己赔付。

携程机票专家提醒，识别假保单的方法很简单，将保单号输入保险公司官网查询系统验证即可。凡是不告知承保公司名称，或提供的保单号无法查询到保单信息的，很可能是有问题的保险，消费者一定要当心。

●山寨网站低价吸引

消费者通过互联网搜索，可以快速获取大量的机票售卖信息，但是搜索结果中许多提供超低价机票的小网站却存在很多安全隐患。甚至有些山寨网站会直接模仿知名旅行网站，博取消费者的信任，最后通过所谓的客服诱导消费者进行转账购买机票，等到消费者醒悟过来时为时已晚。

一般情况下正规的机票销售渠道不会出现要求客户用银行卡直接汇款的方式，消费者如遇类似要求一定要提高警惕，核实网站的合法性，验证客服电话是否属实，留意其是否具有CATA（中国民航运输协会）的认证资质和工信部的运营备案，如对方号称是知名在线旅游网站又让消费者汇款基本可断定为骗子网站，建议直接报警处理。

●假以400客服热线为名

消费者防骗能力的提升，也逼得一些不法分子走上了“专业化”的道路，一些骗子网站和黑代理为掩人耳目会用400开头的电话与消费者进行沟通并要求汇款或转账，而往往消费者根据对方的要求进行操作后扣了款项却拿不到机票。有些骗子网站甚至会利用软件修改来电显示号码，用400开头的电话表示“合法”身份。

提高对400/800等所谓企业客服专用号码的警惕性，对不熟悉的号码最好通过搜索引擎核实信息的真实性，凡是在电话里索取银行卡号和支付密码均属骗子行为。消费者尽量通过知名的服务商或者航空公司官网购买。

【 此内容为优化阅读，进入原网站查看全文。 如涉及版权问题请与我们联系。8610-87869823】