高校数据泄露事件汇总分析
1、上海交通大学
2019年,上海交通大学一个数据库因未正确配置公开访问权限,而导致泄漏了8.4TB的电子邮件元数据。该泄漏数据库包含95亿行数据,在发现时处于活动状态,其大小由5 月23日发现时的7TB,一天后增加到8.4TB。该数据库属于上海交通大学,这是一个总部设在中国的大型学术机构,学为41,000多名本科学生提供博士学位。
数据库中包含的信息是通过Zimbra打包的,zimbra是全球超过20万家企业使用的流行开源电子邮件解决方案。根据安全专家的说法,通过这些数据,可以找到特定用户发送或者接收的所有邮件,此数据还包括检查其电子邮件的人员的IP地址和用户代理,据此可以找到所有使用的IP和特定人员的设备类型。此外,通过这份数据库,还能查到多个特定用户之间的邮件来往记录。
2、河南郑州西亚斯学院
该院近两万名学生信息遭到泄露,包括姓名、身份证号、专业、宿舍门牌号等二十余项信息。事件发生后,多名学生反映收到骚扰电话。郑州西亚斯学院前身为郑州大学西亚斯国际学院,位于河南省新郑市,2018年经教育部批准,转设为独立设置的民办普通本科高校,现有在校生32000余人。
事件发生后,该校已经报警,并解聘了相关责任人。
3、2021年9月,山东济南某所高校的新生个人信息遭到泄露,在一个名为“协院助手”的微信公众号上可以查询该校新生的个人信息。
4、珠海网警在“净网2021”专项行动中破获一个侵犯公民个人信息的犯罪团伙,抓获6名嫌疑人,查获中小学生个人信息10万余条。
5、Cl0p组织声称可访问斯坦福大学等六所美国顶尖高校的学生和教职员工的财务文件和护照信息。这些大学包括:叶史瓦大学 、斯坦福大学、 迈阿密大学、 马里兰大学、 科罗拉多大学博尔德分校、 加州大学默塞德分校。这意味着超多人受到了影响,因为泄露的数据快照暴露了敏感信息,其中包括:相片、 出生日期、 住家地址、 护照号码、 移民身份 、个人名字、 社会安全号码。
6、澳洲迪肯大学
2022年,澳洲迪肯大学遭受了一次网络攻击,数万名的学生数据被窃取。澳洲媒体表示,黑客窃取了一名迪肯大学工作人员的登录信息,并解锁了46,980名往期和在读的学生的个人信息。其中包括个人的姓名、过去的学业成绩、手机号码和电子邮件地址。然后,通过第三方供应商向近1万名学生发送了一条钓鱼短信,要求提供信用卡信息,以支付 “紧急海关费用”。
7、昆士兰科技大学
2023年,数千名职工和67名学生的个人数据在一次网络攻击中被泄露。该州第二大大学的大约2500名在职员工和一些前员工的个人数据被盗,这些数据可能被用于身份盗窃。另外有17名在校生和50名前学生受到影响。在发给学生的电子邮件中,副校长Margaret Sheil说,可能被泄露的数据是存储文件,包括一些学生的个人信息,可能有助于身份盗窃。邮件中说:”我们已经确定有17名在校学生和少数以前的学生可能受到了影响。”12月22日的网络攻击导致校园打印机吐出大量勒索留言纸条,并导致该大学关闭了一些IT系统作为预防措施。
8、美国斯坦福大学
2023年2月24日消息,美国斯坦福大学被曝在2022 年12 月至 2023 年 1 月期间发生了数据泄露事件,涉及897名正申请博士学位的研究生。在一封发送给这些学生的邮件中,学校表示2023 年 1 月 24 日收到通知,由于文件夹设置配置错误,导致他们的经济系博士入学申请文件能够以未经授权的方式被访问。斯坦福调查发现,数据泄露最早始于2022年12月5日,并且在2022年12月5日至2023年1月24日之间有两次下载记录。
这些数据涉及学生的申请表和随附材料,包括姓名、性别、出生日期、家庭和邮寄地址、电话号码、电子邮件地址、种族和公民身份信息。除上述信息外,申请材料中的个人健康信息、社会安全号码和财务数据没有被暴露,因为所泄露的申请文件不包含这些数据。在斯坦福大学网站上的另一份声明表示,该数据泄露只涉及经济学博士项目申请,不再涉及学校其他任何项目,也不影响大学的本科生申请。斯坦福在发现数据泄露后后立即阻止了对这些文件的访问。
9、人民大学
2023年7月1日,有网友在微博上爆料称,北京某高校马某某在读硕士研究生期间,利用校内网络盗取全校学生个人信息,包括照片、姓名、学号、籍贯、生日等,并搭建了给全校学生颜值打分的网站。该毕业生还曾在个人社交账号上发布动态公开此事。网传截图显示,该动态发布于2020年10月。
7月3日,据平安北京海淀微博通报,针对“北京某高校部分学生信息被非法获取”的情况,海淀警方接到报警后,立即开展调查。经查,嫌疑人马某某(男,25岁,该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前,马某某已被海淀公安分局依法刑事拘留,案件正在进一步调查中。
据相关人士了解,马某某在校期间,曾在学校信息中心勤工俭学,做过学生助理。开学、毕业时需要大量人手帮忙,比如制作毕业证书和开学注册,这些都需要获取学生个人比较隐私的信息,学生助理就有机会使用到高权限账号并私自保存。
10、科罗拉多州立大学 (CSU) 已确认,Clop 勒索软件在最近的 MOVEit Transfer 数据盗窃攻击中窃取了现任和前任学生和员工的敏感个人信息。
科罗拉多州立大学是一所公立研究型大学,拥有近 28,000 名学生和 6,000 名学术和行政人员,依靠 5.58 亿美元的捐赠资金运营。
该大学 于 2023 年 7 月 12 日通知其学生和教职员工,网络攻击者已通过非法攻击获取了教职员工和学生的个人数据。
尽管数据泄露的实际范围和影响仍在评估中,但科罗拉多州立大学已在专门针对网络事件的网页上提供了以下声明。
科罗拉多州立大学警告说 :“受影响的供应商维护的在校和离校员工的一些数据包含个人身份信息,其中可能包括名字、中间名首字母、姓氏、出生日期、学生或员工身份号码、社会安全号码以及性别、种族、教育水平和领域等人口信息可能被盗并泄露。”
11、韩国大邱警察厅27日表示,从2021年8月开始到去年11月为止,逮捕了侵入5所大学和10个公共机关泄露个人信息的庆北大学信息保安社团的两名学生。警方以涉嫌窃取学校的期中考试问题并参加考试的A某被拘留,并对侵入校内信息通信网阅览学生、教职员个人信息的B某进行了不拘留移交。他们泄露的个人信息达81万人、217万件。去年11月3日,庆北大学确认了班级、性别、监护人地址等最多12个项目的个人信息被泄露,并上传了道歉信。 调查结果显示,2名在校生擅自登录校内信息系统,阅览包括个人信息在内的资料,并用个人电脑下载。
12、2023年8月15日,据报道,南昌公安网安部门工作发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。南昌公安网安部门立即开展一案双查,成功抓获犯罪嫌疑人3名。同时,对涉案高校不履行数据安全保护义务违法行为开展执法检查。经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务,导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
13、2023年8月15日报道,麻萨诸塞州官员周二开始与超过13.4万名目前或之前参与某些州立项目的人取得联系,这涉及麻州大学陈氏医学院(UMass Chan Medical School)使用的文件传输程序数据泄露事件,他们的个人信息(可能包括私人医疗信息和财务数据)处于暴露风险中。
卫生与公众服务执行办公室(EOHHS)表示,泄露的具体信息因人而异,但在每个案例中都包括个人姓名和至少一项其他信息,如出生日期、邮寄地址、受保护的健康信息(如诊断和治疗详情)、社会安全号和财务账户信息。
报道称,问题源于MOVEit中的一个漏洞,该程序是总部位于伯灵顿的Progress软件公司的产品,该公司称,“MOVEit 用于传输文件,是麻州大学向某些EOHHS机构和项目提供服务的一部分”。
14、2023年3月10日,株洲市公安局荷塘分局网安大队接株洲市网络与信息安全信息通报中心通报,株洲某软件学校网站存在短文件名泄露漏洞。经网安大队检查发现,该网站系统中存在大量学生姓名、身份证号、电话号码、家庭住址 等敏感信息,该学校未对前述数据采取应有的技术保护措施,未履行数据安全保护义务,存在数据泄露风险。株洲市公安局荷塘分局根据《数据安全法》第四十五条第一款之规定,给予该学校警告,并责令限期改正。