3月18日,一名黑客潜入了美国最大校园信息系统之一的员工账户。18分钟后被发现踢出,但已经足够让1100万学生的家长收到一封措辞谨慎的道歉信。
这是Infinite Campus的剧本——全美45个州、超过2000个学区用的学生信息系统(SIS,Student Information System)。从成绩查询到午餐账户,家长每天打开的页面背后,这次站着一个叫ShinyHunters的黑客团伙。
他们专挑Salesforce账户下手,手法像流水线:钓鱼邮件拿到凭证,Aura组件漏洞横向移动,最后把数据打包上架暗网拍卖。
18分钟的窗口期,黑客拿走了什么
Infinite Campus在通知信里试图淡化损失:「获取的主要是教职员工姓名和联系方式,这些信息在学校官网上也能找到。」
但安全团队的时间线暴露了紧张感。3月18日,异常登录触发警报;IT部门介入,18分钟后强制下线入侵者。ShinyHunters的动作更快——在被踢出之前,他们已经完成了数据抓取。
公司强调「客户信息未被针对性窃取」,却同时承认「部分数据可能涉及家长」。这种措辞的微妙差异,读过数据泄露通知的人都知道意味着什么。
更麻烦的是后续。ShinyHunters把Infinite Campus挂上了自己的数据泄露网站,配图是一张教室空镜。这不是炫耀,是标价前的展示。
ShinyHunters的「Salesforce狩猎季」
这个团伙今年格外活跃。3月初,他们公开认领针对Salesforce Aura组件的大规模攻击,警告「更多案例即将披露」。Infinite Campus是其中一块拼图。
他们的商业模式很直接:入侵、勒索、拍卖。哈佛和宾大超过百万条个人信息被泄露后上架;拉斯维加斯一家顶级酒店被索要150万美元赎金。Infinite Campus的回应是拒绝谈判——「不会与未授权行为者接触」。
但拒绝付钱不等于没有代价。公司关闭了部分面向客户的服务,限制无IP地址用户的访问。家长登录查成绩时可能遇到的卡顿,就是这次攻击的余波。
一个值得玩味的细节:Infinite Campus在通知信里没提ShinyHunters的名字,只说是「一个以攻击数百家公司Salesforce账户闻名的组织」。这种回避反而成了确认。
校园软件的供应链困境
学生信息系统是教育数字化的基础设施,却长期活在安全聚光灯之外。Infinite Campus服务1100万学生,意味着可能有数千万家长的联系方式流经这个平台。
这次泄露的规模其实难以精确统计。公司说「大多数」数据是公开信息,但「大多数」是多少百分比?家长数据涉及多少州?通知信里没有数字。
更深层的问题在于架构。Salesforce作为客户关系管理(CRM,Customer Relationship Management)平台,被无数企业用来存储敏感数据,但它的Aura组件漏洞今年才被大规模利用。安全补丁的传递链条太长——Salesforce更新、企业IT部署、最终用户感知,每个环节都有延迟。
ShinyHunters显然算准了这个时间差。
当勒索成为常态,拒绝谈判是不是最优解
Infinite Campus的强硬姿态在道德上站得住脚,但技术上未必无害。拒绝支付赎金意味着数据可能被公开拍卖,而教育数据的买家用途更难预测——精准诈骗、身份盗窃、甚至针对未成年人的社交工程。
公司采取的技术补救措施也带着妥协感。限制无IP地址访问,本质是牺牲用户体验换取安全边界。那些用公共网络登录的家长,现在可能需要多走一步验证流程。
这引出一个行业层面的尴尬:当K-12教育的数字化依赖少数几家SIS供应商,单点故障就会辐射整个生态系统。1100万学生背后,是2000个学区各自不同的安全预算和响应能力。
ShinyHunters的下一个目标会是谁?他们在3月的预警里说「更多攻击即将到来」。Infinite Campus的18分钟窗口,会不会成为其他校园软件的参照标准——还是反面教材?
热门跟贴