9月9日，引起全国关注的徐玉玉诈骗案告破，犯罪嫌疑人被公安机关抓获，据透露，犯罪嫌疑人杜某通过攻击“山东省2016高考网上报名信息系统”获得了考生信息，并出售给犯罪嫌疑人陈某实施诈骗。

此案中，犯罪嫌疑人“黑入教育系统网站获取个人信息”、“专卖给诈骗集团实施诈骗”这样的作案流程与方式，实际上并非事出无因，一直以来，传统企事业单位，尤其是教育系统的网络信息防护能力不强、意识不足，使得这些单位网站存在各式漏洞，成为诈骗集团获取个人信息的“帮凶”。

在360补天漏洞应急响应平台上，我们可以看到最新提交的10个漏洞中，其中有6个与高校、大学有关。而这些网站漏洞，极有可能，或者已经造成了学生个人信息的泄漏，也因此才会出现类似徐玉玉案中的受害者。
 

周鸿祎直言电信诈骗信息泄漏真相

周鸿祎在9月8日参加直播节目聊到“电信诈骗”时表示，电信诈骗案中，有一种情况是用户自己无法控制的，就是个人信息泄漏。山东这次电信诈骗中，他们知道女孩刚上大学、需要助学金，一定发生了信息泄漏。

类似徐玉玉这种准大学生个人信息泄漏通常有两种情况，一种是服务于企事业单位的个人掌握数据，他们倒卖数据，属于内贼。但周鸿祎在节目中表示不一定是这种单位内部人理应外盒，可能是第二种情况：“网站信息安全防范不严密，网站被坏人控制了”。

周鸿祎表示，包括高校、教育系统等企事业单位在内的网站上，有大量的用户数据，这些数据本身的丢失不会带来金钱的损失，但被黑客获得数据之后，会明码标价专卖给行骗集团，对于诈骗集团来说，这些数据给他们增加了武器、如虎添翼。而这些数据泄漏的背后，归根结底是这些网站存在漏洞。

而徐玉玉案件两组犯罪嫌疑人的作案方式，恰恰正式周鸿祎指出的这种。

一方面，犯罪嫌疑人杜某利用技术手段攻击 “山东省2016高考网上报名信息系统”并在网站植入木马病毒，获取了网站后台登录权限，盗取了包括徐玉玉在内的大量考生报名信息。

另一方面，犯罪嫌疑人陈某通过QQ搜索“高考数据群”、“学生资料数据”等聊天群，在群内从杜某手中以每条0.5元的价格购买了1800条今年高中毕业学生资料。同时，陈某雇佣郑某、黄某等人冒充教育局、财政局工作人员拨打电话，以发放助学金名义对高考录取学生实施诈骗。

真相背后：仍有大量教育系统、企事业单位网站存在安全漏洞

徐玉玉案只是被曝光在公众面前的诈骗案例之一，正如周鸿祎节目中所说，360旗下漏洞应急响应平台补天平台还发现过很多企事业单位网站的漏洞，但很多网站并没有修补漏洞的意识，而这些网站可能就会造成大量的个人信息的泄漏。

这种漏洞未修补，可能有两种情况，一种是，对于普通政府、企事业单位来说，可能并不具备较高的网络安全防护能力，因此在推出类似“山东省2016高考网上报名信息系统”的时候，可能会像单位自身网站一样存在漏洞，因此最终导致网站系统被黑客攻击、信息泄漏并造成惨剧。

另一种是很多单位根本没有这种防范意识，周鸿祎透露360补天平台发现过一些单位的漏洞，并告知了相关单位，但网站根本不重视，甚至认为是狗拿耗子。这些存有大量用户信息数据的网站，以后甚至现在极可能已经是个人信息泄漏的源头了。

因此，对于不断发生的电信网络诈骗案件来说，只靠政府公安机关一件案子一件案子破、只靠运营商实名制，只靠安全厂商软件如360手机卫士标记、拦截骚扰乃至诈骗电话，很难避免悲剧再次发生。

除了公安机关严厉打击、运营商从源头打击提升犯罪成本外，正确的方式应该是存有用户数据的机构、单位要提升自己的安全防护能力，甚至可以与安全厂商之间相互协作，利用安全厂商的专业能力修补漏洞，提升安全性，共同提升诈骗集团的犯罪成本，尽量降低个人信息泄漏的风险。