離開
進入中小學網站 資安大漏洞
北部十餘校處於危險邊緣
〔記者黃邦平、許敏溶/綜合報導〕台灣校園網頁安全有漏洞!一群關心網路安全的駭客表示,台灣部分校園網頁因程式設計老舊,駭客可輕易植入木馬程式,竊取或竄改學校電腦中的試題、成績等檔案,並竊取密碼資料,中小學校園網站最嚴重,過去估計高達半數學校可輕易入侵,現在雖有改善,但光是北部,就有十幾所學校的資安處在危險邊緣。
台灣網路安全自治協會副會長「蟾蜍」表示,少數校園網頁安全有漏洞,主因為程式設計太舊,而非侵入者高明,他們檢視發現,光是北部就有十幾所學校使用舊式ASP系統,這種系統有個致命漏洞,駭客只要鍵入SQL指令,就像使用萬用鑰匙一樣,輕鬆進入學校網站,擁有任意更改權限。
「蟾蜍」舉例說,前陣子新竹地區某高中就有學生為了炫耀,利用這種方法竄改學校網頁,但他指出,這不能怪學校或老師,因為學校人力、資金有限,所以台灣網協希望提醒各級學校及時補救。
可竄改成績並入侵家中電腦
台灣網路安全自治協會組長陳冠廷說,中小學校園網路漏洞百出,輕則官網公告欄被任意竄改,重則可能冒用老師修改成績、學生基本資料外洩。更嚴重的是駭客可能在學校網站植入木馬程式,一旦瀏覽校園網站,學生家中電腦可能被入侵,導致個人資料外洩,包括連網路信用卡等交易資料都會被竊取。
他舉例,部分學校福利社採用儲值卡,但是儲值卡的主機卻放在網頁伺服器上,一旦被駭客入侵,即可修改儲值卡的金額,造成廠商、校方或學生個人損失。
宜蘭縣壯圍國中今年五月間得知網頁容易被侵入,在「小駭客」提醒下決定改版;壯圍國中資訊組長廖麗珠說,學校網頁為校內老師設計研發並沿用至今,但校方無足夠人力、物力建置夠強的「防火牆」阻擋外力侵入。
現在壯圍國中學校公布欄一律經由宜蘭縣教網中心的EIP登入。廖麗珠表示,宜蘭縣各國中小教師每人都有一個EIP帳號,改用這種系統後,誰進入系統一目了然,教網中心又有專屬人力和防火牆,學校不必費心,安全性提高很多。
