Infinite Campus被黑：1100萬學生數據遭勒索

3月18日，一名黑客潛入了美國最大校園信息系統之一的員工賬戶。18分鐘后被發現踢出，但已經足夠讓1100萬學生的家長收到一封措辭謹慎的道歉信。

這是Infinite Campus的劇本——全美45個州、超過2000個學區用的學生信息系統（SIS，Student Information System）。從成績查詢到午餐賬戶，家長每天打開的頁面背后，這次站著一個叫ShinyHunters的黑客團伙。

他們專挑Salesforce賬戶下手，手法像流水線：釣魚郵件拿到憑證，Aura組件漏洞橫向移動，最后把數據打包上架暗網拍賣。

18分鐘的窗口期，黑客拿走了什么

Infinite Campus在通知信里試圖淡化損失：「獲取的主要是教職員工姓名和聯系方式，這些信息在學校官網上也能找到。」

但安全團隊的時間線暴露了緊張感。3月18日，異常登錄觸發警報；IT部門介入，18分鐘后強制下線入侵者。ShinyHunters的動作更快——在被踢出之前，他們已經完成了數據抓取。

公司強調「客戶信息未被針對性竊取」，卻同時承認「部分數據可能涉及家長」。這種措辭的微妙差異，讀過數據泄露通知的人都知道意味著什么。

更麻煩的是后續。ShinyHunters把Infinite Campus掛上了自己的數據泄露網站，配圖是一張教室空鏡。這不是炫耀，是標價前的展示。

ShinyHunters的「Salesforce狩獵季」

這個團伙今年格外活躍。3月初，他們公開認領針對Salesforce Aura組件的大規模攻擊，警告「更多案例即將披露」。Infinite Campus是其中一塊拼圖。

他們的商業模式很直接：入侵、勒索、拍賣。哈佛和賓大超過百萬條個人信息被泄露后上架；拉斯維加斯一家頂級酒店被索要150萬美元贖金。Infinite Campus的回應是拒絕談判——「不會與未授權行為者接觸」。

但拒絕付錢不等于沒有代價。公司關閉了部分面向客戶的服務，限制無IP地址用戶的訪問。家長登錄查成績時可能遇到的卡頓，就是這次攻擊的余波。

一個值得玩味的細節：Infinite Campus在通知信里沒提ShinyHunters的名字，只說是「一個以攻擊數百家公司Salesforce賬戶聞名的組織」。這種回避反而成了確認。

校園軟件的供應鏈困境

學生信息系統是教育數字化的基礎設施，卻長期活在安全聚光燈之外。Infinite Campus服務1100萬學生，意味著可能有數千萬家長的聯系方式流經這個平臺。

這次泄露的規模其實難以精確統計。公司說「大多數」數據是公開信息，但「大多數」是多少百分比？家長數據涉及多少州？通知信里沒有數字。

更深層的問題在于架構。Salesforce作為客戶關系管理（CRM，Customer Relationship Management）平臺，被無數企業用來存儲敏感數據，但它的Aura組件漏洞今年才被大規模利用。安全補丁的傳遞鏈條太長——Salesforce更新、企業IT部署、最終用戶感知，每個環節都有延遲。

ShinyHunters顯然算準了這個時間差。

當勒索成為常態，拒絕談判是不是最優解

Infinite Campus的強硬姿態在道德上站得住腳，但技術上未必無害。拒絕支付贖金意味著數據可能被公開拍賣，而教育數據的買家用途更難預測——精準詐騙、身份盜竊、甚至針對未成年人的社交工程。

公司采取的技術補救措施也帶著妥協感。限制無IP地址訪問，本質是犧牲用戶體驗換取安全邊界。那些用公共網絡登錄的家長，現在可能需要多走一步驗證流程。

這引出一個行業層面的尷尬：當K-12教育的數字化依賴少數幾家SIS供應商，單點故障就會輻射整個生態系統。1100萬學生背后，是2000個學區各自不同的安全預算和響應能力。

ShinyHunters的下一個目標會是誰？他們在3月的預警里說「更多攻擊即將到來」。Infinite Campus的18分鐘窗口，會不會成為其他校園軟件的參照標準——還是反面教材？