文章总结： 文章揭露教育行业千万级数据泄露事件，阳光食堂平台维护人员利用权限批量导出学生信息贩卖，数据单价0.5-13元/条，总交易额达数千万元。泄露渠道包括平台维护商、教培机构共享和学校内部人员，根本问题在于合规不等于安全，内部人员滥用权限难以防范。建议加强运维背景审查、实行多人授权机制、完善审计日志，家长需主动回拨核实学校来电。 综合评分： 85 文章分类： 数据安全,安全建设,政策法规,安全意识,应急响应

说个新闻：教育行业千万级数据泄露-阳光食堂背后的黑暗产业链

原创

iconic iconic

老登的安全观

2026年5月22日 08:30 广东

在小说阅读器读本章

去阅读

佛系随性笔记，记录最好的自己！

个人水平比较有限，每篇都尽量以白话+图文的方式去说明。

文章架构

引言

1、阳光食堂

2、数据到底多“便宜”

3、数据从哪来

4、问题到底出在哪？

5、扎心的事实

6、怎么防

结语

引言

江苏有个叫王⑧的人，干了一件事，他给一个做教培的朋友打了个电话：”我能搞到学生数据，你要不要？”

朋友说：”多少钱？”

王⑧说：”13万条初三学生的，友情价，6万💰。”

朋友还价到4万，没谈成。

后来有人问王⑧：”你这数据哪来的？”他笑了笑：”我认识一个做阳光食堂信息平台维护的🛠️人。”

看到这儿，是不是觉得很离谱😲？更离谱的还在后面。

阳光食堂？

这个”阳光食堂信息化服务平台”，本来是政府搞的一个好事儿，监控中小学食堂从采购到做菜的全流程，让家长放心。

听起来特别正经，有监管、有平台、有数据。

结果平台维护方的一个负责人，把里面存储的学生信息，批量导出，按斤卖了📦。

对，你没听错。不是黑客攻进去偷的，是维护平台的人自🐛己卖的。

用上游新闻记者的话说，他手里掌握的截图和证据，显示至少上千万条学生数据在市面上流通📈。

数据到底多”便宜”？

我做了一张”价目表”，你看完可能会血压升高：

| | | | | — | — | — | | 数据类型 | 单价 | 备注 | | 延期1-2年的旧数据 | 0.5元/条 | 也就是五毛 | | 最新数据（姓名+电话） | 2-5元/条 | 跟一杯蜜雪冰城差不多 | | 精准数据（姓名+身份证+住址） | 10-13元/条 | 最贵的版本 | | 200万条打包 | 约50万元 | 批发价 |

还有个长期干这行的马姓贩子说，他手里的在读学生数据有3000多万条，每条约3块钱。

算一下：3000万 × 3元 = 9000万🤑。

你孩子的个人信息，在这些人眼里，就是9后面跟着七个零的那行Excel里的一个格子。

数据从哪来😡？

记者顺着线索摸上去，发现数据的源头五花八门，但逃不出这三条路🛣️：

第一条路：官方平台维护商：👨‍💻

这就是阳光食堂事件的核心，教育信息平台总得要有人维护吧？维护总得有后台权限吧？好，有权限的人，把数据一锅端出来，打包下载卖给下一个。这就像你请了个保安看门，结果保安把门钥匙复制了几百把，每把卖5块钱。

第二条路：教培机构”共享”：🤝

你家孩子在某机构报了个班，机构拿到了你的姓名、电话、孩子年级，然后这个机构一边自己打电话骚扰你，一边把你的数据转手卖给其他机构，离职员工更狠，离职的时候把数据库整个拷走了。

第三条路：学校内部人员：🏫

贩子怎么找班主任🖊️？”在学校附近文具店蹲着，跟老板娘混熟了，让她推荐班主任。”班主任把自己的学生名单给贩子，贩子按条付钱。

老师说：我也没想那么多，就是觉得能赚个外快💵，可是你知道你卖出去的是一条数据，不知道这条数据最后会落在谁手里。

问题到底出在哪？

说实话，这事儿不能只怪一个维护平台的负责人。虽然这些人是真该死。

根本问题是：我们太相信”合规”了。

你看，阳光食堂平台肯定是合规的，有项目审批、有验收报告、有资质证书。一整套流程走下来，什么文件都不缺。

但”合规”不等于”安全”。🛡️❌🔒

合规检查的是：你有没有防火墙、数据有没有加密、权限有没有分级，安全要解决的是：拿钥匙的那个人，值不值得信任。🤷‍♂️

而现实是，大部分教育行业的信息化项目，根本就没考虑过”如果维护人员把数据偷出去怎么办”这个问题。

因为合规检查里没有这一项。 🚫

扎心的事实

你知道这些数据卖给谁了吗？💔

最开始可能是卖给教培机构，给家长打电话，问要不要报个班，但这只是第一层。

数据到了地下的第二层、第三层之后，买家就变了，诈骗团伙。

他们的逻辑很简单：我知道你孩子的学校、班级、名字，我就能冒充班主任给你发短信、打电话。

“家长您好，学校统一订教辅材料，请扫码付款。”

“您好，您的孩子在学校受伤了，需要交医药费，请马上打钱。”

这些诈骗的命中率，比群发的”恭喜你中奖了”高100倍🎯。为什么？

因为他们叫得出你孩子的名字，说得出你孩子读哪个学校、哪个班，你接电话的时候，第一反应不是”这是骗子”，而是”是不是学校真的有事”。😱

怎么防？

我作为一个干安全的，说实话，这事儿技术上能做的有限，你要是问”企业怎么用AI防数据泄露”，我能给你写三千字。

但这次的问题不是技术问题。是人。 🧍‍♂️

一个拿着合法权限的人，把数据批量导出了。 防火墙拦不住他，DLP拦不住他（因为他是管理员），加密更没用（他本来就有解密权限）。

能做的就几条：

第一，平台运维方的背景审查不能走过🔍场， 不是有资质就行，签约前得查他以前干过什么项目、出过什么事。

第二，数据库操作必须有”多人授权👥”，不能一个人就能导出几百万条数据，至少需要两个人同时审批。这条技术上不难，难的是执行。

第三，审计日志不能只记”有人导出过数据”，得记清楚”谁、什么时间、导出了什么、导出去了哪里”📋。 很多系统的审计就是摆设，记了一堆没用的，真出了问题啥也查不到。

第四，家长自己也要长个心眼☎️， 接到自称学校的电话，先挂了，自己翻出班主任的号码回拨确认。多这一步耽误你两分钟，但可能帮你省几万块。

结语

这事儿曝光后，泰州司法机关已经在审理了，江浙沪皖多地在联合调查⚖️，挺好的，抓得越多越好。

但我还是想说，靠抓人，能抓得完吗？🚔

数据黑产这个”产业”，一年的交易额可能比你想象的大得多。今天是阳光食堂，明天可能就是阳光校车、阳光体育、阳光图书馆……☀️

只要数据存在那儿、只要能看到数据的人不只是”一个人”、只要导出数据不需要第二个人点头，这事儿就不会是最后一次⚠️。

深圳

注释：如有失误，望批评指正！

后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。

后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731、0830、0911、2026、007、008”有相关资料可供下载！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老登的安全观 iconic iconic《说个新闻：教育行业千万级数据泄露-阳光食堂背后的黑暗产业链》