清华、北大、复旦(微博)、南京大学、长江商学院等数家国内顶级MBA学员名录近日被发现泄露在互联网上,所有个人信息均可无需账户名和密码,随意下载。与以往互联网隐私泄露事件不同,受此次事件影响的人群非常高端,被泄露的名头往往是:董事长、CEO、局长、院长、行长、主席、区长等……
过万MBA学员信息可随意下载
日前,一位IT业内人士向《IT时报》记者报料,其在某互联网安全类网站上发现,大量MBA学员信息可能被泄露,清华、北大、复旦等都是国内最富盛名的MBA教学机构。
根据上述业内人士提供的FTP下载地址(IP地址为59.173开头),记者轻而易举地登录了该FTP,并随即发现,所有信息均指向一家名为福亿国际的公司,该FTP中包含了福亿国际的公司简介、营销资料、合同范本、市场信息等几乎全部公司内部常用资源,其中营销资料中就包含了海量MBA学员个人信息。
令记者意想不到的是,整个FTP大约900多M大小,其中至少有800M以上来自存放MBA学员信息的文件夹,这表示,该信息库规模之大,包含学员信息之多,难以估量。随后,记者点击进入“清华大学”文件夹,其中包含数十个子文档和子文件夹,分别代表各年份清华大学举办的各种MBA、MBA总裁班等各类课程的学员名单。据记者保守估计,仅清华大学一所高校,被泄露MBA学员信息就多达数千条,而将所有MBA高校学员信息相加,预计个人信息条目数将过万。
泄露信息准确率超80%
随机打开一份名单,记者发现其中充斥着董事长、总经理、总监、局长、主任、书记等各种头衔的高端人士,信息内容包括姓名、单位名称、地址、固定电话、手机等。除了外企、国企、民企老总之外,政府部门官员、事业单位负责人、银行行长等也赫然在列,其中部分信息甚至指向某地市委副书记、某直辖市某区区长,被泄露者层级之高,令人咋舌。
为了验证名单真实性,记者随机选取部分电话号码进行了拨打测试,数位被访者向记者证实了自己的身份。某航空行业集团公司党委副书记王泽(化名)向记者证实,名单上的信息属实,自己确实参加过相应的MBA课程,“我经常能收到各种来历不明的电话,目前个人隐私保护环境并不好,个人隐私泄露的事常有发生。”而某科技公司财务总监则对此不愿多说,“信息没错,是我,但我也很无奈,不愿对此发表评论。”
在记者对数十个电话进行拨打测试后发现,除停机、换号、未接通等情况外,名单上的个人信息基本正确,准确率超过80%.
武汉福亿拒不承认
记者随即致电武汉福亿国际公司,以媒体身份要求核实该公司是否曾发生隐私泄露事件。不过,一位该公司人士却对此表示,“我根本不知道你在说什么,我认为这是敲诈”,粗暴拒绝了采访请求。
记者辗转从另一位福亿国际工作人员处了解到,该公司是一家注册在英属维尔京群岛的外汇交易平台,目前在武汉解放路一座高级写字楼新世界中心办公,员工人数约40~50人。而这些高管信息提供给营销人员,让他们向这些高端人士推销自己的外汇理财产品。
金山安全反病毒工程师李铁军称,这是一次人为事故,由服务器配置不当、权限设置错误引起。“这种网络管理员小儿科般的错误现在已经很少见了,如果泄露隐私的数量巨大,该公司的服务器应立即关闭。”
截至发稿时,该公司FTP下载地址已被关闭,由于发布该隐私平台公众知晓度不高,所以此隐私泄露事件暂时还未在互联网上造成恶劣影响。
记者手记
企业对隐私泄露太无知
一个名不见经传的理财公司,手里就掌握着全套的国内顶级MBA学员名录,一切似乎太容易了。今年315晚会,罗维邓白氏这家号称拥有1.5亿高端消费者信息的营销公司被央视曝光后关门。互联网时代个人信息泄露无孔不入。虽然我们无法证明福亿国际这些信息的来源,但福亿国际对待自身隐私泄露责任的态度,却反映出它们在面对互联网隐私泄露时的无知和粗暴,这些企业甚至连亡羊补牢的事都不愿意去做。这或许也代表了国内许多其他企业的态度,但这个态度是百分之百错误的,企业管理者必须重新审视互联网信息安全的重要性。