没有黑客技术，也能轻松越过访问权限直接下载后台文件，这样的怪事就发生在南海盐步职业技术学校。网站漏洞致使2000多名学生个人隐私数据泄露，信息安全遭遇巨大挑战，同时，不少家长遭受诈骗困扰，学校回应称因为“遭受黑客入侵”。

打开网上文档便知学生秘密

近日有读者向羊城晚报爆料，称盐步职业技术学校(下称盐步技校)学生信息遭到泄露，许多家长接到诈骗电话。

8日，记者登录盐步技校官方网站发现，除了官网外，该校还开发了独立运行的教学管理系统，在其网址后加上文档的英文字母“files/”，页面便成功跳转至目录列表。

在里边，有3551份电子文件，均以“字母”加“数字”的方式进行命名。记者不需要输入账号跟密码，便可任意下载。这些电子文件涉及学校教学的方方面面，包括老师公开课教案、学生申请搭餐人数统计表、实习老师值班安排表等等。

上述资料似乎无关痛痒，但记者很快发现，泄露文档中有多份学生实习名单、助学金申请表、技能大赛报名表，包含了学生的真实姓名、身份证编号、照片、联系方式等个人信息。记者甚至找到了三份“(2013年)11月19日走读生吸食违禁品事件记录”，这是三名未成年学生在厕所吸“K粉”的口述报告。

令人瞠目结舌的是，记者下载编号为“cjq250675”的Excle文件表后，发现这是盐步职业技术学院全校学生的花名册，学生身份证、姓名、家庭详细住址、监护人姓名及手机号码等内容历历在目，涉及该校从2010年秋季入学至今的2640名学生完整信息。

骗子窃取信息家长差点被骗

记者根据花名册的信息，按照“城市户口”、“农村户口”“非佛山地区”等类别，分别拨打给5位家长，有两位家长反映接到过关于小孩的诈骗电话。

在外地工作的家长梁女士告诉记者，不久前有位女骗子来电自称是盐步技校的老师，说她儿子出现了严重车祸，被送往医院抢救，学校垫付医疗费后还不够，让她马上汇钱到指定账号去。

“那骗子知道我们很多信息，我不得不就信了。”梁女士回忆说，她当时心头一惊，赶紧打儿子手机，却怎么也打不通，心急如焚。后来辗转联系上了，才发现不过是一场骗局，“幸亏没有让骗子得逞”。

一位不愿意透露姓名的家长告诉记者，许多家长都接到诈骗电话，有的还不止接到一两个，“学生个人隐私被泄露至少有一年时间了，学校并没有公开对全体家长进行答复处理。”

半年前被“黑”漏洞如今仍在?

在网址上添加文档的英文名“files”，便能直接访问后台文件，这到底是巧合还是普遍现象?

据不完全统计，佛山地区至少还有两所技校开发了独立的教学管理系统网站，分别是顺德职业技术学院和广东纺织职业技术学院。当记者尝试用上述手法进行访问时，浏览器提示“指向错误”，并没有出现可供下载的文件。

有业内人士告诉记者，之所以可以直接访问后台文件，是因为设计网页配置服务器信息时，允许用户进行“目录浏览”，没有设置权限拦截，“这是非常低级的漏洞”。

昨日中午，盐步技校办公室杨主任向记者坦言，今年6月份确实有家长投诉学生个人信息泄露，但她对“低级漏洞”给予了否定，“这是被黑客入侵的结果”。

据杨主任介绍，盐步教学管理系统是内部网络，并不对外公开。接到反映后，学校进行了调查，发现是校内某电脑遭受了黑客入侵，导致后台信息泄露。学校已将事件上报给有关部门，并处理了中毒电脑。

那为何“漏洞”时隔半年重新出现呢?

杨主任坦言不清楚此事，但她承诺“学校会进一步关注，并处理好这件事情”。

截至昨日下午5时许，记者已无法从外部登陆盐步教学管理系统网站。

随着信息技术和互联网的普及，存在敏感数据的信息化企业和单位必将成为“众矢之的”，如何确保这些企业和它们所属网站的安全成了关键。而对于敏感数据本身，采用具有针对性的加密软件进行防护总是最好的选择。

(责任编辑：)