网易首页 > 网易号 > 正文 申请入驻

教科书巨头被勒索:1350万条记录泄露,Salesforce背锅?

0
分享至

一家靠卖知识赚钱的公司,被黑客上了一堂数据安全课。

McGraw Hill——美国教科书巨头,旗下覆盖K-12到职业培训的数字化学习平台——本周出现在勒索组织ShinyHunters的暗网泄露站点上。1350万条记录,100多GB数据,姓名、电话、邮箱、部分家庭住址,全部流入黑市。


讽刺的是,这家公司自己就是教别人怎么学习的。

泄露源头:一个"有限"的Salesforce页面

McGraw Hill对外口径很谨慎。他们向媒体承认遭遇入侵,但反复强调范围"有限"——只是一个Salesforce托管的网页,"未涉及McGraw Hill的Salesforce账户、客户数据库、课件或内部系统"。

技术层面,这话可能没错。但Have I Been Pwned的监测显示,泄露的邮箱地址就达1350万个,数据包体积超过100GB。对受影响的用户来说,"有限"是个冰冷的安慰。

McGraw Hill把矛头指向了更上游。他们在声明中称,这"似乎是Salesforce环境中配置错误引发的更广泛问题的一部分,已影响多个组织"。

Salesforce方面没有回应The Register的询问。这种沉默在数据泄露事件中并不罕见,但让责任归属更加模糊。

黑客的战术:不打正门,走后门

ShinyHunters在暗网 listing 中的措辞很直接:他们手握"超过4000万条含个人身份信息的Salesforce记录",并指责McGraw Hill未能在4月14日截止日期前支付赎金。

这个数字(4000万)与McGraw Hill确认的1350万不符,可能包含其他受害者,也可能是谈判话术。但攻击路径本身值得细究。

大多数Salesforce泄露并非因为平台本身有漏洞。常见模式是:盗用的凭证、滥用的OAuth应用、权限过度的第三方集成——攻击者用"合法"身份悄悄拉取数据,系统日志甚至不会报警。

ShinyHunters对此轻车熟路。2025年他们就发起过针对Salesforce关联环境的行动,专攻连接服务而非核心系统。这次McGraw Hill的入侵,手法如出一辙。

对依赖SaaS生态的企业来说,这是个尴尬的现实:你的安全边界不再由自己完全掌控。一个配置错误的API权限、一个被遗忘的测试环境、一个过度授权的第三方应用,都可能成为突破口。

McGraw Hill的困境:说多了怕股价,说少了怕用户

事件曝光后,McGraw Hill的应对策略很微妙。

自家官网零提及。社交媒体沉默。The Register的问题未获回应。但面对其他媒体,他们又提供了那份精心措辞的声明——既承认事实,又划定边界,还把部分责任外推给Salesforce的"更广泛问题"。

这种选择性沟通背后是典型的危机计算:教育出版业的客户包括学校、学区、政府机构,合同周期长、合规要求严。公开承认大规模数据泄露,可能触发审计、解约、监管调查。

但低调处理也有代价。1350万人中,有多少人知道自己的信息已经泄露?Have I Been Pwned的数据库会通知部分用户,但覆盖率有限。McGraw Hill是否有直接通知义务、是否已启动通知程序,原文未提及——我们只能说,目前公开渠道看不到这些信息。

ShinyHunters的暗网 listing 还提到了另一个名字:Rockstar Games。两家公司在同一天被挂上泄露站点,暗示这可能是批量攻击的一部分。对McGraw Hill而言,这既是压力(同行都在被勒索),也是微弱的掩护(注意力被分散)。

数字化转型的隐性账单

McGraw Hill的业务模式早已不是卖纸质教科书那么简单。K-12数字化平台、自适应学习系统、职业认证评估——这些产品的核心资产是用户数据:学习行为、进度追踪、身份档案。

这次泄露的虽是"基础"个人信息(姓名、联系方式),但结合McGraw Hill的业务属性,潜在风险更复杂。教育记录属于敏感类别,钓鱼攻击可以精准伪装成"课程更新通知"或"成绩查询"。攻击者手握真实的学习平台用户数据,社会工程(利用人性弱点而非技术漏洞的攻击)的成功率会显著上升。

更深层的问题是供应链安全。McGraw Hill使用Salesforce托管客户交互页面,这是标准做法。但当SaaS配置成为攻击面,企业是否具备足够的可见性?第三方安全审计、权限最小化原则、持续监控——这些都不是新鲜概念,但执行层面的缝隙总是存在。

ShinyHunters选择勒索而非直接售卖数据,说明他们认为McGraw Hill有支付意愿和能力。教育出版业的品牌声誉与客户信任高度绑定,数据泄露的公关成本可能远高于赎金本身。但支付赎金又可能招致监管审查(部分司法管辖区将支付勒索赎金视为违法行为),形成两难。

一个开放的问题

McGraw Hill的声明把事件框定为"配置错误"和"第三方问题",这种叙事能否站住脚,取决于后续调查披露的细节。但更大的图景已经清晰:当企业的核心资产数字化,安全责任也随之碎片化——平台方、集成商、最终用户,每个人都在链条上,但完整的责任地图却难以绘制。

对于那1350万条记录的主人来说,他们可能在不知情的情况下,成为了这场责任推诿的沉默成本。而McGraw Hill真正的教训或许是:在勒索软件时代,"未涉及核心系统"的技术辩解,挡不住"我的数据怎么泄露了"的公众追问。

最后想问你:如果你的学习记录、职业培训档案、甚至孩子的K-12平台数据,都托管在这样的SaaS链条上——你认为谁该为配置错误买单?平台、企业、还是最终只能自认倒霉的用户?

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
他们困在霍尔木兹,有人已精神崩溃

他们困在霍尔木兹,有人已精神崩溃

南风窗
2026-04-22 18:12:41
河南12岁贫困女孩,被校长收留免费读书,校长待她如亲生。谁知,多年后,无意看见校长车内的一件衣服,她竟2次退学…

河南12岁贫困女孩,被校长收留免费读书,校长待她如亲生。谁知,多年后,无意看见校长车内的一件衣服,她竟2次退学…

励职派
2026-04-24 12:48:47
特朗普:估计普京不会出席G20峰会,如果他来了会非常有帮助;称“俄罗斯被赶出G8时普京非常生气,如果他们没有被赶出去,情况会好得多”

特朗普:估计普京不会出席G20峰会,如果他来了会非常有帮助;称“俄罗斯被赶出G8时普京非常生气,如果他们没有被赶出去,情况会好得多”

鲁中晨报
2026-04-24 10:16:03
史玉柱现状:离婚30多年未再婚,63岁仍不退休,女儿成为他的骄傲

史玉柱现状:离婚30多年未再婚,63岁仍不退休,女儿成为他的骄傲

素衣读史
2026-04-20 21:57:34
碧桂园裁员89%

碧桂园裁员89%

新浪财经
2026-04-23 13:30:37
北京惊现"假Costco":注册资本1亿未实缴,年卡比正版还贵

北京惊现"假Costco":注册资本1亿未实缴,年卡比正版还贵

小星球探索
2026-04-24 14:45:47
美军工心脏——洛克希德马丁生产的顶尖装备,超乎你的想象

美军工心脏——洛克希德马丁生产的顶尖装备,超乎你的想象

混沌录
2026-04-23 21:14:12
1982年血色使馆:中国外交官唐健生为了生存杀光了所有同事

1982年血色使馆:中国外交官唐健生为了生存杀光了所有同事

阿校谈史
2026-03-20 11:03:27
永不再生! 2022年河北男子潜入保护区挖上千斤, 偷偷种在玉米地里

永不再生! 2022年河北男子潜入保护区挖上千斤, 偷偷种在玉米地里

万象硬核本尊
2026-04-23 19:24:17
73岁老人“试住”老年公寓当天猝死,家属索赔54万,法院:未签订书面合同,公寓适当赔偿4.5万元

73岁老人“试住”老年公寓当天猝死,家属索赔54万,法院:未签订书面合同,公寓适当赔偿4.5万元

大风新闻
2026-04-23 12:16:07
嘴唇是“心梗”的放大镜?提醒:嘴唇有这5种变化,建议及时就医

嘴唇是“心梗”的放大镜?提醒:嘴唇有这5种变化,建议及时就医

芹姐说生活
2026-04-23 19:14:31
Coco又曝猛料!谢贤冬天解衣让她取暖,把女儿珠宝让她戴,太会了

Coco又曝猛料!谢贤冬天解衣让她取暖,把女儿珠宝让她戴,太会了

橙星文娱
2026-04-24 12:12:33
德黑兰上空传出爆炸声!伊朗:发现以色列侦察无人机并开火;以色列:现在不会攻击伊朗,已做好重启与伊朗战争的准备,“只等美国的绿灯”

德黑兰上空传出爆炸声!伊朗:发现以色列侦察无人机并开火;以色列:现在不会攻击伊朗,已做好重启与伊朗战争的准备,“只等美国的绿灯”

每日经济新闻
2026-04-24 07:42:06
忠县惊现特大谋杀案!副县长办公室内惨遭杀害,真相引人深思!

忠县惊现特大谋杀案!副县长办公室内惨遭杀害,真相引人深思!

人生录
2026-04-24 09:13:06
中一签赚38.9万!“易中天”概念股狂飙950%

中一签赚38.9万!“易中天”概念股狂飙950%

21世纪经济报道
2026-04-24 14:05:01
女生长的太漂亮是什么体验?网友:母以子贵,父以女荣

女生长的太漂亮是什么体验?网友:母以子贵,父以女荣

另子维爱读史
2026-03-10 22:56:08
中美联合国激烈交锋,美逼中国买单,中方拒绝接受,对美反将一军

中美联合国激烈交锋,美逼中国买单,中方拒绝接受,对美反将一军

南宗历史
2026-04-23 15:52:11
被中年阿姨的“生活智慧”惊到了!厨房那叫一个干净,真是了不起

被中年阿姨的“生活智慧”惊到了!厨房那叫一个干净,真是了不起

室内设计师有料儿
2026-04-24 10:29:38
1979年打越南,高层其实吵翻了天?叶剑英粟裕为何反对出兵?

1979年打越南,高层其实吵翻了天?叶剑英粟裕为何反对出兵?

鹤羽说个事
2026-04-22 22:36:00
人这辈子最积德的有3事:一是常说吉祥话,二为行善,第三最重要

人这辈子最积德的有3事:一是常说吉祥话,二为行善,第三最重要

金沛的国学笔记
2026-04-24 15:36:35
2026-04-24 16:36:49
全栈遛狗员
全栈遛狗员
白天跟需求对线,晚上在小区遛狗。
1752文章数 51关注度
往期回顾 全部

科技要闻

DeepSeek V4牵手华为,价格依然"屠夫级"

头条要闻

女子买二手奔驰里程数偏差20万公里 看到事故记录崩溃

头条要闻

女子买二手奔驰里程数偏差20万公里 看到事故记录崩溃

体育要闻

里程碑之战拖后腿,哈登18分8失误

娱乐要闻

停工16个月!赵露思证实接拍新剧

财经要闻

19家企业要"铝代铜",格力偏不

汽车要闻

YU7 GT 5 月上市!小米Vision GT概念车国内首秀

态度原创

亲子
数码
房产
健康
公开课

亲子要闻

女子因迟迟没怀孕被怀疑身体有问题,女子直接去医院检查自证清白

数码要闻

DeepSeek:预计下半年昇腾950超节点批量上市后 V4-Pro模型价格会大幅下调

房产要闻

三亚安居房,突然官宣!

干细胞如何让烧烫伤皮肤"再生"?

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版