當初,美國Facebook創(chuàng)始人扎克伯格侵入校園網(wǎng),獲得未經授權的美女同學照片,一時之間名聲大噪,也讓哈佛校方頭疼了一陣子。而日前華東理工大學“梅隴客?!闭搲铣霈F(xiàn)一個名為“曾經的我們”的小軟件,只要輸入學號,就能看到自己在學校系統(tǒng)中的存檔照片。雖然這個漏洞很快就被華理堵上,但關于校園網(wǎng)的安全問題,華理事件絕非個例。
》事件始末
學生編軟件“入侵”校園網(wǎng) 引起瘋狂轉發(fā) 擊垮服務器
據(jù)介紹,網(wǎng)名為“x-spirit”的華理學生近日在論壇上發(fā)帖公布了這款軟件,并將其命名為“曾經的我們”。不管是在校學生還是已畢業(yè)的校友,只要輸入本科學號,就能看到學校系統(tǒng)中的存檔照片,疑似利用學校系統(tǒng)漏洞而得以實現(xiàn)。
“我試著輸入學號,果然看到了照片。照片上的我看上去還很幼稚,是高中畢業(yè)剛上大學那會兒的樣子。”華理校友張先生說,除了這張照片,其余信息包括姓名、專業(yè)等一律沒法看到。不過,就是這張略顯幼稚的存檔照片,激發(fā)了眾多網(wǎng)友的興趣,大家紛紛嘗試,導致服務器不堪重負,一度“癱瘓”。
部分學生覺得此舉“有趣”,可以喚起大家曾經的記憶。網(wǎng)友“pigrass”打趣地說道,“搜了某甲妹,發(fā)現(xiàn)過去和現(xiàn)在一樣純;搜了某乙妹,以前居然是小臉嘟嘟的;搜了某丙妹,瞎了,假小子啊”。網(wǎng)友“木無波”看了照片后則感慨,“爺當然還很嫩,現(xiàn)在已經是大膘樣了”?!癵oddisposes2008”更是表示感謝,“多謝樓主,2003級的老人成功找到當年寢室7人的照片,滿懷感慨地寫了篇日志,讓我追憶了那似水年華。九年了,不容易,學校還留著我們這些老人的照片哪!”
不過,記者試圖體驗該軟件時,卻發(fā)現(xiàn)此軟件已被關停。頁面顯示“因觸犯了某位同學的隱私,關閉啦!”
一名華理學生在論壇上發(fā)帖時直指開發(fā)者“x-spirit”:“x-spirit同學發(fā)現(xiàn)了學校網(wǎng)站的漏洞。他將這個漏洞向公眾公布,雖然沒有公布細節(jié),但是提供了一個該漏洞的應用。這個應用可能造成隱私泄露,造成服務器不堪重負。在未得到漏洞方同意的情況下,公布漏洞細節(jié)或者提供利用漏洞的方法是不對的?!?/p>
網(wǎng)友“Ebolla”也表示,“樓主挺有才的,但是并不是每個人都希望把自己的照片掛在網(wǎng)上給別人隨便看的,非得往嚴重里說怎么也算是有點侵犯個人隱私了,所以樓主的初衷可能是好的,希望大家回憶一下青蔥歲月,但是效果可能并不是那么理想?!?/p>
記者了解到,學號不同于密碼,數(shù)字排列有規(guī)律可循。比如,自己的學號是“B03111123”,則“B03111122”和“B03111121”肯定是周圍同學的學號。因此想要查看其他同學的照片,的確易如反掌。
》對話當事人
并非學計算機專業(yè) 利用漏洞軟件才得以成功
記者近日聯(lián)系了軟件編寫者“x-spirit”。提及編寫該軟件的初衷,他坦言,開發(fā)目的很簡單,就是想讓畢業(yè)多年的校友看看曾經的照片,找回多年前的記憶?!拔野阉∶麨椤浀奈覀儭靡庖簿驮诖??!?/p>
他并不諱言,該軟件利用了學校網(wǎng)絡系統(tǒng)的漏洞,才得以實現(xiàn)。他表示,自己懂得適可而止,因此,在校學生或者畢業(yè)校友輸入學號后,也只能看到一張照片。其他任何私人信息都是看不到的,“如果我真的是故意的話,為什么不抖出其他信息呢?其實,只要我愿意,其他信息都能挖出來,公之于眾的?!彼踔敛豢舷蛴浾咄嘎堵┒醇毠?jié),覺得知道的人太多,不是好事。
由于“曾經的我們”軟件一開始的反響良好,“x-spirit”本來還有意為大家開發(fā)更多有趣的小軟件,比如,華理選課外掛軟件、實驗搶課外掛軟件等。
“不過,好景不長,前些天遭到了同學舉報,因此被關停了。”“x-spirit”自覺委屈,“好心好意幫大家編寫軟件,沒想遭到了舉報,有同學覺得侵犯別人隱私。我已經交了一份檢討給學校,并將相關漏洞信息上報校方了?!?/p>
據(jù)“x-spirit”稱,自己是非計算機專業(yè)的本科生。那么,華理校園網(wǎng)是不是真的不堪一擊,一個并非相關專業(yè)的學生都能“攻破”?“x-spirit”告訴記者,“要發(fā)現(xiàn)學校系統(tǒng)漏洞,沒有半點技術基礎肯定是不可能的。那些計算機系的學生是不是普遍具有這樣的水準,我也說不上來。”
他自述一直對計算機網(wǎng)絡有濃厚興趣,當初考大學時,未能進入計算機系,是因為偏科嚴重。他對互聯(lián)網(wǎng)的興趣從未減退,平時總會去一些國際專業(yè)論壇,和國外的計算機高手交流,并緊跟最新的網(wǎng)絡技術。此外,“x-spirit”還做過不少小軟件,比如“淘寶返現(xiàn)金”軟件、“秒殺”軟件等。他曾經還在上海市計算機應用大賽獲過獎,在這一領域,自認為不比計算機專業(yè)的學生差。
“各個學校都會有像我一樣的人,因為在互聯(lián)網(wǎng)技術方面,是否具有黑客潛質,關鍵靠興趣和實踐,而不是課堂上老師教出來的。我現(xiàn)在就通過開發(fā)一些軟件來提高能力,這是一個摸著石頭過河的過程?!薄皒-spirit”覺得,不排除其他人會有和他一樣的想法。
》學校反應
華理已于近日修補漏洞
此事發(fā)生后,華理信息辦已經開始修補系統(tǒng)漏洞。記者近日致電信息辦時,相關負責人表示,提高校園網(wǎng)安全,和財力、物力的大量投入不無關系,目前條件下難以完全做到。
“學校不可能坐以待斃,肯定會采取一些措施,具體細則不方便透露。”她如此說道。不過,記者還是在華理信息化辦公室網(wǎng)站看到了一份《關于印發(fā)<華東理工大學校園網(wǎng)絡信息安全應急工作預案>的通知》。該通知給出了網(wǎng)絡信息安全應急處置工作程序,包括“緊急事件發(fā)生前,建立健全緊急事件速報制度,保障突發(fā)性緊急事件信息報送渠道暢通”等,但記者并未查看到具體實施細則。
而經由此事,一位華理不愿意透露姓名的教授則向記者坦言,在信息安全方面,雖然要做到萬無一失是不現(xiàn)實的,但可以提高的地方還有很多。而且可以說,這不光是華理的問題,也同樣是全市很多高校的問題。
相關案例
學生屢次攻陷自家校園網(wǎng)
事實上,學生發(fā)現(xiàn)校園網(wǎng)漏洞,并用各種方式炫耀“戰(zhàn)績”的做法,的確是很多高校共同面對的問題。據(jù)記者不完全統(tǒng)計,僅去年一年就有5起相關新聞報道。去年8月底,廣東外語外貿大學(大學城校區(qū))校園網(wǎng)遭黑客攻擊,正在上網(wǎng)的學生電腦全部自動關機。所幸大部分同學電腦并未遭受損壞?!昂诳汀睘樵撔P畔W院大四學生,事后通過微博向全體學生公開道歉。
而就在今年3月底,南昌大學某學生匿名入侵校園網(wǎng)站后,篡改網(wǎng)站公告抱怨“學校斷電太早,希望學生寢室0點30分再斷電”,因此被廣大網(wǎng)友稱為“最有愛的黑客哥”。而據(jù)信息安全檢測結果,南昌大學網(wǎng)站此前存在多個高危漏洞,才會被黑客輕易入侵篡改。
滬上不少高校的校園網(wǎng)也同樣未能幸免?,F(xiàn)在就職于一家外資IT企業(yè)的軟件工程師“hackerzhou”早在復旦(微博)大學讀書時,就發(fā)現(xiàn)了校方數(shù)據(jù)庫管理系統(tǒng)的漏洞,并利用該漏洞,編寫了選課軟件?!拔抑幌胱鳇c幫助同學的事情,所以沒有做得過分。其實,如果我想的話,可以把其他任何同學的成績信息調出來。這個軟件一開始的時候,也只是在計算機專業(yè)的同學之間內部流傳?!彼绱苏f道。
此外,上海大學校友金先生在校時,也曾利用系統(tǒng)漏洞,設計過一個選課助手軟件,累計使用人數(shù)達到130余萬人次。他曾告訴記者,該軟件出于善意的目的設計,但由于數(shù)據(jù)源問題,讓該軟件蒙上了一層陰影,最后只能被迫關停。這讓他著實難過了一陣子。
相關閱讀