教科书巨头麦格劳-希尔遭勒索软件团伙攻击，1350万条记录泄露

教科书出版巨头麦格劳-希尔（McGraw Hill）近日被勒索软件团伙列入泄露名单，起因是一起据称与Salesforce配置错误相关的事件，导致1350万条记录外泄。

据"我是否已被泄露"（Have I Been Pwned）平台披露，此次泄露涉及用户姓名、电话号码、电子邮件地址及部分实际地址。麦格劳-希尔方面将泄露来源描述为一个"有限范围"的Salesforce托管网页，但目前在网络上流传的数据总量已超过100GB，涵盖1350万个电子邮件地址。

Salesforce系统遭受入侵，大多数情况下并非源于平台自身的安全漏洞，而是由于被盗的账户凭证、被滥用的OAuth应用程序，或权限过度开放的系统集成，使攻击者得以以合法身份悄然窃取数据。

本周早些时候，勒索软件团伙ShinyHunters将麦格劳-希尔添加至其暗网泄露网站，与摇滚明星游戏（Rockstar Games）等其他受害者并列展示。《The Register》看到的相关列表显示，该团伙声称掌握"超过4000万条包含个人身份信息的Salesforce记录"，并指责麦格劳-希尔在4月14日截止日期前拒绝支付赎金。

麦格劳-希尔在其官方渠道保持沉默，既未在官网上发布任何相关说明，也未回应《The Register》的采访请求。不过，该公司在接受其他媒体采访时表示，此次事件"似乎是Salesforce环境中一项配置错误所引发的更大范围问题的组成部分，已对多个机构造成影响"。

该出版商还竭力限定此次事件的影响范围，坚称此次入侵"未涉及对麦格劳-希尔Salesforce账户、客户数据库、课件或内部系统的未经授权访问"。此说法在技术层面或许成立，但对于那些个人信息可能已在网络上流传的用户而言，这样的解释恐怕难以起到多少宽慰作用。

Salesforce方面未对《The Register》的问询作出回应。

ShinyHunters此前已有针对Salesforce关联环境发动攻击的记录，其2025年的攻击行动利用的正是与核心系统相连的周边服务中存在的薄弱环节，而非直接攻破核心系统本身。

对于麦格劳-希尔这家业务涵盖K-12基础教育到职业培训的数字学习平台与评估服务机构而言，其中的讽刺意味不言而喻。至少，对于所有卷入此次事件的人来说，此番教训清晰可见：即便是"有限范围"的数据暴露，一旦扩散至公开网络，后果便会迅速累积，难以收拾。

Q&A

Q1：ShinyHunters是什么组织？他们是如何攻击麦格劳-希尔的？

A：ShinyHunters是一个勒索软件团伙，活跃于暗网泄露网站。他们并非直接攻破麦格劳-希尔的核心系统，而是利用与Salesforce关联的周边服务中存在的配置错误或安全薄弱环节获取数据。该团伙声称掌握超过4000万条包含个人身份信息的Salesforce记录，并在麦格劳-希尔拒绝在4月14日截止日期前支付赎金后，将其列入暗网泄露名单。

Q2：麦格劳-希尔数据泄露事件影响了哪些用户信息？

A：根据"我是否已被泄露"平台披露，此次泄露涉及用户姓名、电话号码、电子邮件地址及部分实际地址，共涵盖1350万个电子邮件地址，泄露数据总量超过100GB。麦格劳-希尔虽将泄露来源定性为"有限范围"的Salesforce托管网页，但实际流传数据规模远超其描述。

Q3：Salesforce系统为何频繁成为攻击目标？

A：大多数Salesforce相关的数据泄露并非源于平台本身的安全漏洞，而是由于被盗的账户凭证、被滥用的OAuth应用程序，或权限过度开放的系统集成，导致攻击者能够以合法身份访问系统并悄然窃取数据。ShinyHunters此前也曾针对Salesforce关联环境发动攻击，专门利用与核心系统连接的周边服务中的薄弱环节。