徐玉玉案信息泄露源头已经查明。犯罪嫌疑人杜某利用技术手段攻击“山东省2016高考网上报名信息系统”并在网站植入木马病毒,获取后台登录权限,盗取包括徐玉玉在内的大量考生的个人信息,以每条0.5元的价格卖给在网上发布求购信息的犯罪嫌疑人陈某;随后,陈某雇用、操纵其他团伙成员,利用买来的个人信息,精准实施了这起酿成命案的电信诈骗。
这样的侦破结果对逝者与生者都是一种安慰。对花季凋零的徐玉玉而言,犯罪链条的完整还原意味着来自法律的公正交代;对翘首期待的公众而言,侦破难度极高的个人信息泄露环节上的突破,在意味案件彻底告破的同时,也是人民警察为民服务的一次可贵展示。与此同时,致命的个人信息泄露最终被锁定为黑客作案,而不是“内鬼”所为,这在某种意义上也会让人感到些许的安慰。
但是,稍作思考,这一点儿安慰就会被深深的担忧所取代。
徐玉玉案的第一个关键节点是“山东省2016高考网上报名信息系统”及相关网站的失守。黑客杜某的作案技术究竟如何,我们不得而知,但毫无疑问,如果没有这一环节的失守,徐玉玉的个人信息就不会经由这个环节被盗卖,从而也就不会一环一环地蔓延成一桩命案。
这种局面当然不是相关部门所愿意看到的,但是,作为失守的“信息系统”及相关网站的负责方,相关部门如果就此一脸无辜地将自家混同于普通围观群众,则不应该。扪心自问,在“负责”这一“信息系统”的过程中,你们是否拥有足够强烈的信息安全意识,你们的信息安全保护措施是否到位?另外,从8月初的常升大学志愿被盗改,到随后多地多起类似案件被曝光,再到徐玉玉个人报考信息被盗卖,教育招考类信息系统屡屡暴露出短板。然而,即使是在徐玉玉案信息泄露源头被正式确定之后,相关负责方似乎从来都没有做过一次自我检讨,更没有针对信息安全漏洞拿出过什么解决方案,哪怕仅仅是表个态。这样的缄默又是为了什么?
这样的追问并非仅仅针对哪一个部门,更是出于对某些公共机构公民信息泄露麻木症的担忧乃至惊恐。随着信息化程度的不断提升,公民信息的采集与交流越来越频繁,公民个人信息泄露风险也随之增大。电信、教育、医疗、社保等方面的企业与公共机构,正日益成为公民个人信息泄露的重要源头——泄露方式主要包括“内鬼”作案与黑客盗取两种。对公共机构而言,内部管控以及《刑法修正案(九)》对“侵犯公民个人信息罪”的刑罚,会对作为公职人员的“内鬼”有足够强大的震慑力。在这个意义上,公共机构公民信息泄露的主要危险来自于外部的黑客入侵。而黑客得逞的一个重要前提是,被攻击信息系统存在安全漏洞。据漏洞响应平台“补天平台”统计,2015年该平台收录的可造成个人信息泄露的漏洞多达1410个(可泄露的个人信息量高达55.3亿条),公共机构信息系统正是这些漏洞的多发地带。
面对如此凶险的现实,很多拥有海量公民个人信息的公共机构却安全意识淡薄,相关信息系统安全防护设备、人员及措施严重不到位,安全漏洞多,极易被黑客攻破。在这种情况下,即使不是“内鬼”作案,公民信息泄露不是出于主观故意,相关公共机构也是难脱干系。至少,可以作为一种行政上的不作为而被问责。
黑客汹汹来袭,若无其事的一些公共机构“信息系统”还是赶紧杀杀毒,做做安全升级为好!
本文转自d1net(转载)