江蘇
關(guān)鍵詞
漏洞
鳳凰城大學(xué)披露,該校于今年夏季遭遇黑客未授權(quán)入侵系統(tǒng)事件,近350萬(wàn)人的信息因此泄露。
此次事件導(dǎo)致在校學(xué)生、往屆校友、教職工及供應(yīng)商的敏感個(gè)人信息與財(cái)務(wù)信息遭竊取。
鳳凰城大學(xué)是一所總部位于亞利桑那州鳳凰城的私立營(yíng)利性院校,該校表示,此次信息泄露源于其甲骨文電子商務(wù)套件(Oracle E-Business Suite,簡(jiǎn)稱EBS)財(cái)務(wù)應(yīng)用程序遭到攻擊。
調(diào)查人員確認(rèn),黑客入侵行為發(fā)生在2025年8月13日至22日期間,但校方直至11月21日才檢測(cè)到這一事件 —— 而在前一天,該校剛被克洛普(Clop)勒索軟件團(tuán)伙列入其數(shù)據(jù)泄露網(wǎng)站的攻擊名單。
12月初,鳳凰城大學(xué)在其官網(wǎng)發(fā)布相關(guān)公告,其母公司鳳凰教育伙伴公司則向美國(guó)證券交易委員會(huì)提交了一份8-K文件(上市公司重大事項(xiàng)報(bào)告)。
校方于本周一向緬因州總檢察長(zhǎng)辦公室及受影響人員提交的通知函證實(shí),此次事件的受害者共計(jì)3489274人,其中包括9131名緬因州居民。
遭泄露的數(shù)據(jù)具體包含以下內(nèi)容:姓名及聯(lián)系方式、出生日期、社保號(hào)碼、銀行賬戶號(hào)碼及路由號(hào)碼
鳳凰城大學(xué)稱,上述信息均被黑客非法訪問,但同時(shí)指出,黑客獲取的銀行賬戶信息 “不具備實(shí)際使用權(quán)限”。
大規(guī)模系列攻擊事件
據(jù)悉,此次攻擊是克洛普勒索軟件團(tuán)伙發(fā)起的系列攻擊的一部分。該團(tuán)伙利用了甲骨文電子商務(wù)套件中一個(gè)編號(hào)為CVE-2025-61882的零日漏洞實(shí)施攻擊。這一系列攻擊于今年10月初被公開曝光,已波及多個(gè)行業(yè)的超100家機(jī)構(gòu)。
“根據(jù)我們的數(shù)據(jù)統(tǒng)計(jì),這是今年全球范圍內(nèi)波及人數(shù)第四多的勒索軟件攻擊事件。” 數(shù)據(jù)研究機(jī)構(gòu)Comparitech的數(shù)據(jù)研究主管麗貝卡?穆迪表示。“這一事件凸顯出企業(yè)持續(xù)面臨的勒索軟件威脅 —— 這種威脅不僅源于針對(duì)企業(yè)自身系統(tǒng)的攻擊,像甲骨文這類第三方平臺(tái)遭遇攻擊時(shí),黑客往往能通過這一集中式入口,獲取多家企業(yè)的訪問權(quán)限及數(shù)據(jù)。”
盡管克洛普?qǐng)F(tuán)伙已宣稱對(duì)此次事件負(fù)責(zé),但部分安全研究人員仍不愿將攻擊方完全歸咎于FIN11威脅組織。
經(jīng)證實(shí),同樣因甲骨文電子商務(wù)套件漏洞遭攻擊的美國(guó)高校還包括哈佛大學(xué)、賓夕法尼亞大學(xué)及達(dá)特茅斯學(xué)院。
值得注意的是,盡管此次事件波及范圍甚廣,但截至本文撰寫時(shí),攻擊者雖已公布據(jù)稱從其他受害者處竊取的大量文件,鳳凰城大學(xué)的相關(guān)數(shù)據(jù)卻未被公開泄露。
教育行業(yè)仍是攻擊重災(zāi)區(qū)
鳳凰城大學(xué)表示,將為受影響人員提供免費(fèi)的身份信息保護(hù)服務(wù),具體包括為期12個(gè)月的信用監(jiān)控、身份盜用恢復(fù)協(xié)助、暗網(wǎng)監(jiān)測(cè),以及一份保額達(dá)100萬(wàn)美元的欺詐賠償保險(xiǎn)。
“我強(qiáng)烈建議所有受此次泄露事件影響的人員,充分利用校方提供的免費(fèi)身份保護(hù)服務(wù)。” 隱私保護(hù)機(jī)構(gòu)Pixel Privacy的消費(fèi)者隱私維權(quán)專員克里斯?豪克說(shuō)。“這項(xiàng)服務(wù)能幫助他們及時(shí)察覺不法分子是否正利用泄露的數(shù)據(jù)實(shí)施惡意行為。”安全領(lǐng)域負(fù)責(zé)人指出,此次事件暴露出高等教育行業(yè)普遍存在的系統(tǒng)性安全漏洞。
“這起信息泄露事件,凸顯了我們?cè)?025年全年觀察到的一個(gè)令人擔(dān)憂的趨勢(shì)。” 網(wǎng)絡(luò)安全公司SOCRadar的首席信息安全官恩薩爾?塞克爾解釋道。“像克洛普這樣的威脅組織,持續(xù)將零日漏洞和大規(guī)模數(shù)據(jù)竊取攻擊作為武器,針對(duì)大型集中式教育平臺(tái)發(fā)起攻擊。”
此次事件躋身2025年已披露的最嚴(yán)重教育行業(yè)信息泄露事件之列,同時(shí)也表明,高校作為海量個(gè)人及財(cái)務(wù)數(shù)據(jù)的存儲(chǔ)庫(kù),對(duì)網(wǎng)絡(luò)犯罪分子的吸引力有增無(wú)減。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
