教科书巨头被勒索：1350万条记录泄露，Salesforce背锅？

一家靠卖知识赚钱的公司，被黑客上了一堂数据安全课。

McGraw Hill——美国教科书巨头，旗下覆盖K-12到职业培训的数字化学习平台——本周出现在勒索组织ShinyHunters的暗网泄露站点上。1350万条记录，100多GB数据，姓名、电话、邮箱、部分家庭住址，全部流入黑市。

讽刺的是，这家公司自己就是教别人怎么学习的。

泄露源头：一个"有限"的Salesforce页面

McGraw Hill对外口径很谨慎。他们向媒体承认遭遇入侵，但反复强调范围"有限"——只是一个Salesforce托管的网页，"未涉及McGraw Hill的Salesforce账户、客户数据库、课件或内部系统"。

技术层面，这话可能没错。但Have I Been Pwned的监测显示，泄露的邮箱地址就达1350万个，数据包体积超过100GB。对受影响的用户来说，"有限"是个冰冷的安慰。

McGraw Hill把矛头指向了更上游。他们在声明中称，这"似乎是Salesforce环境中配置错误引发的更广泛问题的一部分，已影响多个组织"。

Salesforce方面没有回应The Register的询问。这种沉默在数据泄露事件中并不罕见，但让责任归属更加模糊。

黑客的战术：不打正门，走后门

ShinyHunters在暗网 listing 中的措辞很直接：他们手握"超过4000万条含个人身份信息的Salesforce记录"，并指责McGraw Hill未能在4月14日截止日期前支付赎金。

这个数字（4000万）与McGraw Hill确认的1350万不符，可能包含其他受害者，也可能是谈判话术。但攻击路径本身值得细究。

大多数Salesforce泄露并非因为平台本身有漏洞。常见模式是：盗用的凭证、滥用的OAuth应用、权限过度的第三方集成——攻击者用"合法"身份悄悄拉取数据，系统日志甚至不会报警。

ShinyHunters对此轻车熟路。2025年他们就发起过针对Salesforce关联环境的行动，专攻连接服务而非核心系统。这次McGraw Hill的入侵，手法如出一辙。

对依赖SaaS生态的企业来说，这是个尴尬的现实：你的安全边界不再由自己完全掌控。一个配置错误的API权限、一个被遗忘的测试环境、一个过度授权的第三方应用，都可能成为突破口。

McGraw Hill的困境：说多了怕股价，说少了怕用户

事件曝光后，McGraw Hill的应对策略很微妙。

自家官网零提及。社交媒体沉默。The Register的问题未获回应。但面对其他媒体，他们又提供了那份精心措辞的声明——既承认事实，又划定边界，还把部分责任外推给Salesforce的"更广泛问题"。

这种选择性沟通背后是典型的危机计算：教育出版业的客户包括学校、学区、政府机构，合同周期长、合规要求严。公开承认大规模数据泄露，可能触发审计、解约、监管调查。

但低调处理也有代价。1350万人中，有多少人知道自己的信息已经泄露？Have I Been Pwned的数据库会通知部分用户，但覆盖率有限。McGraw Hill是否有直接通知义务、是否已启动通知程序，原文未提及——我们只能说，目前公开渠道看不到这些信息。

ShinyHunters的暗网 listing 还提到了另一个名字：Rockstar Games。两家公司在同一天被挂上泄露站点，暗示这可能是批量攻击的一部分。对McGraw Hill而言，这既是压力（同行都在被勒索），也是微弱的掩护（注意力被分散）。

数字化转型的隐性账单

McGraw Hill的业务模式早已不是卖纸质教科书那么简单。K-12数字化平台、自适应学习系统、职业认证评估——这些产品的核心资产是用户数据：学习行为、进度追踪、身份档案。

这次泄露的虽是"基础"个人信息（姓名、联系方式），但结合McGraw Hill的业务属性，潜在风险更复杂。教育记录属于敏感类别，钓鱼攻击可以精准伪装成"课程更新通知"或"成绩查询"。攻击者手握真实的学习平台用户数据，社会工程（利用人性弱点而非技术漏洞的攻击）的成功率会显著上升。

更深层的问题是供应链安全。McGraw Hill使用Salesforce托管客户交互页面，这是标准做法。但当SaaS配置成为攻击面，企业是否具备足够的可见性？第三方安全审计、权限最小化原则、持续监控——这些都不是新鲜概念，但执行层面的缝隙总是存在。

ShinyHunters选择勒索而非直接售卖数据，说明他们认为McGraw Hill有支付意愿和能力。教育出版业的品牌声誉与客户信任高度绑定，数据泄露的公关成本可能远高于赎金本身。但支付赎金又可能招致监管审查（部分司法管辖区将支付勒索赎金视为违法行为），形成两难。

一个开放的问题

McGraw Hill的声明把事件框定为"配置错误"和"第三方问题"，这种叙事能否站住脚，取决于后续调查披露的细节。但更大的图景已经清晰：当企业的核心资产数字化，安全责任也随之碎片化——平台方、集成商、最终用户，每个人都在链条上，但完整的责任地图却难以绘制。

对于那1350万条记录的主人来说，他们可能在不知情的情况下，成为了这场责任推诿的沉默成本。而McGraw Hill真正的教训或许是：在勒索软件时代，"未涉及核心系统"的技术辩解，挡不住"我的数据怎么泄露了"的公众追问。

最后想问你：如果你的学习记录、职业培训档案、甚至孩子的K-12平台数据，都托管在这样的SaaS链条上——你认为谁该为配置错误买单？平台、企业、还是最终只能自认倒霉的用户？