学生隐私的保护能力与教育信息化推进节奏的不匹配,令高校成为信息泄露的重灾区。
4月5日,天津大学学生曝出校方要求强制安装一款名为“超级校园”的app在网上引起热议。随着舆论迅速发酵,根据天大同学收到的班级通知,当天便改为自愿安装。
根据天津大学下发的通知,超级校园app是天津市教委与新浪天津合作开发的手机app,经过两年多的开发、试点运行后面向全市近60所高校推广使用,通知显示,后续天津市各类学生工作平台将陆续向超级校园转移,涉及师生的各类通知和评奖评优也将会通过超级校园进行。
一位曾参与过天津大学“微北洋”app开发的天大校友秦宇(化名)对超级校园的程序进行反编译后表示,该“超级校园”app代码十分简陋,变量命名都是由拼音写就。
一位资深软件开发工程师向记者评价道,“超级校园”app的代码算是中规中矩,命名代码是拼音还是英文一般跟习惯有关。
记者发现,超级校园app账号的激活需要学号、姓名、手机(需验证)还有邮箱,app获取的权限相当之多且用户协议不明,秦宇告诉记者,这些信息一旦被不法分子利用,后果将不堪设想,近年高发的学生电信诈骗案多少与此有关。
记者在苹果商店找到“超级校园”app,在190余条的app评价中,差评率达90%以上,主要吐槽集中在app质量低下,漏洞过多等方面。记者通过天眼查企业信息查询发现,“超级校园”app的开发者天津众和科技有限公司注册于2015年,注册资本200万,经营范围横跨技术服务、市政工程、通讯设备、日用百货教育咨询等。
据业内专家介绍,高校的信息系统多为外包。高校的信息系统的一个主要特点是规模较小,高校系统的服务对象一般为几千人,这种规模的系统使得高校和很难吸引到那些技术水平高的外包公司。
这种模式存在较大的技术风险。开发平台,数据存储,用户界面中间件系统的开发技术共同构成了信息系统外包的求解域。如何选择正确的技术路线也是信息系统外包的重要问题,不少高校片面追求使用新技术和最新平台,忽视了整体的体验优化,使得出现问题的几率大大增加。
该专家表示,在外包活动中承包方一般会接触到高校部分内部资料或者机密资料,这就导致了内部资料特别是学生资料大量泄露的风险。
“个人信息泄露严重的当属高校。”猎豹移动安全专家李铁军说。因管理人员意识薄弱引起的泄露,在大学中表现的特别突出。而泄露的个人信息大都用于诈骗,李铁军说,黑客或内鬼拿到相关信息数据后,会通过QQ群、论坛等途径倒卖给使用者,或经过掮客注水加工后,倒卖给下游的诈骗者货其他使用者,已形成了“黑色产业链”。
专家建议,高校应对针对外包信息系统签订明确的外包协议,协议中应该对最终的功能性指标和非功能性指标由明确规定,还要对双方的权利义务,保密内容,后期维护条款进行详细明确的规定。
记者针对超级校园app事件向天津大学求证,截至发稿未获回复。秦宇向记者透露,目前天津大学已经在对超级校园app进行全面的技术评估,针对app客户端以及厂商服务端的问题进行排查。
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。
分享成功