事后却表示歉意,仍可能面临校纪处分
4444kk-com昨天,一则南大大三学生发布的名为《如何通过入侵老师邮箱拿到期末考卷和修改成绩》,在人人网上被疯狂转载,同学们都感叹这位南大“技术帝”的深厚功力。事情虽然火了,但该生却被辅导员通知立即删除原文,甚至可能面临被学校开除等校纪处分的危险。
江南时报记者 刘丹平
实习记者 孙骏
[南大学生]
这个漏洞是无意中发现的
但最后还是没干坏事
前天夜里,南大软件学院大三学生小刘在人人网上发布了名为《如何通过入侵老师邮箱拿到期末考卷和修改成绩》的帖子,几个小时之内,便被围观的同学疯狂转载,大家都感叹这位南大“技术帝”的深厚功力。
刘同学写到,“先声明,这个漏洞是无意中发现的,我只是验证了它的可行性,但是最后是没有干坏事的,否则被发现会被退学的。另外,我目测很多高校的邮箱系统都有这样的漏洞(因为感觉以前的邮箱系统都不用框架开发),欢迎其它学校的同学去实践和验证,但是还是不要做坏事哦。下面开始了……”
刘同学以入侵南大软件学院一位教务老师邮箱为例,图文并茂的方式将他的实验步骤一点点呈现在文章中,很多重要的信息都用马赛克进行了涂鸦,并对一些详细的代码编程一笔带过。
昨天上午8点半,他突然接到了辅导员的电话,这篇帖子被勒令立即删除。刘同学很快便意识到自己做法的不妥,并在人人网上进行了解释。
记者了解到,刘同学并没有利用这样的漏洞牟取不当的利益,只是做个验证,并想通过这篇帖子来呼吁学校教务系统对本身邮箱保密意识的提高。“如果真的想利用这种漏洞做坏事,我自己就一个人偷着乐了,何必发出来供大家分享呢?”
[专家分析]
这样简单的网络攻击
其实比较常见
面对这样的事件,东南大学计算机学院教授程光也表达了自己的观点。他认为,这样的攻击行为其实是比较常见的,尤其在国外,入侵他人邮箱的事件比比皆是。“举个常见的例子,黑客盗用私人邮箱后,就可以修改邮箱本人的银行卡密码。大多数银行卡是与邮箱绑定的,即使我们不知道银行卡原来的密码,也可通过密码重置,使用邮箱来获取新的密码。而淘宝上也曾发生过这样的事。”
程教授说,其实刘同学所使用的xss攻击行为属于比较简单的方法,国外的黑客网站上很容易就能搜索到具体的教程、工具和方法。尤其在美国、俄罗斯,这样的计算机操作很普通。“其实有些对计算机感兴趣的高中生、大学生会去外网下载这样的程序,只需对源代码做一定的改进,就可利用,火及一时的‘熊猫烧香’就是个例子。”
“不是所有的邮箱都有这样的问题。”程教授说,“有的邮箱直接进入脚本或cookies,就不会那么容易被入侵。”当记者询问刘同学所提供的方法会否被别有用心的人加以利用来获取不当利益时,他表示是有可能的,因为现在中国所使用的多数系统中漏洞频频,很多人没有及时给系统打补丁,或是安装个人防火墙的习惯,因此,被入侵后可能原使用者根本无从知晓。
另外,程教授也表示这样的行为在中国应该算得上是盗窃行为,不管入侵方有没有获得相应的利益,更严重者,甚至需通过法律途径解决。“学校还是要加强自己教务系统的安全管理,即使刘同学是在开玩笑,但利用漏洞来炫耀自己的技术,还是不可取的。”
[事件进展]
相关学生表示歉意
希望大家不要模仿
记者了解到,南大的刘同学就是今年9月初被“创新工厂CEO”李开复看中的南京大学“技术帝”。今年7月,他为学校每个院系算出了“平均脸”,8月,他又通过网上的一个视频中电话按键录音成功地获取360总裁周鸿祎的手机号码。
昨天下午,记者在刘同学的人人网看到,他发帖称,“在此,为我的冲动、浮躁和做事方式,向担心我的人、受到不好影响的人,以及因此事受损的软件学院,表达我的歉意,对不起!而事情的结果会按照学校正常的处理流程得出。另外我还是希望此事对院邮,其他学校的系统和受日志启发去思考和验证的同学会有积极的结果。”
目前,这件事弄得南大软件学院很尴尬,刘同学现在感觉压力也很大。
据知情人透露, “听说,现在刘同学的家长也来到学校,学校说要按照正常流程走,学校、家长、学生三方协议,刘同学还要做个个人陈述,有可能他要遭到学校的处分。”毕竟这件事造成了一定的坏影响,刘同学不应该把入侵邮箱的过程发到网上去,大家也担心其他学校的学生会对此进行效仿。
刘同学本人则拒绝了记者的采访。