问题——从“入侵”到“公开”,高校数据被当作勒索筹码; 据外媒报道,一个长期活跃的网络犯罪团伙近日其泄密网站集中发布两批数据,宣称分别来自哈佛大学与宾夕法尼亚大学对应的系统,单批数据量均超过百万条。该团伙声称,因受害方拒绝支付赎金,遂将所窃取信息对外公开。外媒通过与校友核对、比对公开记录等方式,对部分数据真实性作出验证。两校此前在各自通报中承认校友系统或相关信息系统遭入侵,涉及校友联络与筹款等业务领域。 原因——社会工程学成突破口,攻击链条呈“低门槛高破坏”。 从已披露信息看,两起事件在手法上高度一致:黑客并非完全依赖“硬攻”技术漏洞,而是利用社会工程学欺骗获取访问权限。宾夕法尼亚大学上曾将事件归因于社会工程学攻击,黑客还曾冒用校方邮箱向校友发送邮件,以扩大影响并制造恐慌。哈佛大学方面则将入侵与“语音钓鱼”等欺骗手段相关联,即攻击者通过电话诱导受害者点击恶意链接或打开带毒附件。此类攻击往往抓住组织内部流程分散、人员安全意识不均等薄弱环节,以“伪装身份—诱导操作—盗取凭证—横向移动—打包外传”的链条实施,成本较低,却可能迅速造成大范围信息外泄。 影响——个人隐私与机构公信双重受损,外溢风险向诈骗与身份滥用扩散。 从信息类型看,黑客发布的数据被称涉及校友电子邮箱、电话号码、家庭与办公地址、活动出席记录、捐赠明细等,部分还可能包含与校友关系、筹资活动相关的个人生平信息。这类数据一旦扩散,容易被用于精准诈骗、冒名联系、账户撞库、关系链画像等二次犯罪,受害者面临持续性、长期性的隐私侵扰与财产风险。对高校而言,校友系统往往连接招生、校友联络、捐赠管理等多条业务线,数据泄露不仅带来合规压力和处置成本,也会对校友信任、社会声誉与筹资工作造成冲击;同时还可能引发第三方合作机构的连带安全审查与法律风险。需要指出,黑客声称因“拒付赎金”而公开数据,反映出勒索模式正从“加密锁定”转向“窃取+威胁公开”的双重施压,使受害机构即便恢复系统也难以消除外泄后果。 对策——处置需兼顾应急止损与长效治理,重点补齐“人、流程、权限”短板。 从事件应对角度看,受影响机构通常需要同步推进多项工作:一是尽快完成取证与影响评估,明确数据范围、泄露时间线与潜在受害群体,依法依规开展通知与风险提示;二是对可能被滥用的账户与凭证进行强制重置与多因素认证升级,封堵横向移动与重复入侵通道;三是面向校友与教职员工发布可操作的防骗指引,提示识别冒名邮件、电话诱导与捐赠诈骗等常见套路,降低二次伤害;四是加强第三方服务、外包与供应链安全审计,厘清数据流向与访问边界。 从治理层面看,社会工程学之所以屡屡得手,往往与权限管理宽松、流程验证薄弱、敏感数据分级不足有关。高校等大型组织人员结构复杂、流动性强,需将“最小权限”“分级授权”“关键操作双人复核”“安全培训常态化”和“演练机制”落到实处,并通过日志监测、异常行为识别与数据出境控制等手段提升预警与发现能力。 前景——勒索对抗或更趋长期化,数据安全将成为机构韧性的重要指标。 近年来,网络犯罪团伙借助泄密平台扩散影响、迫使受害方谈判的做法不断增多。随着信息共享渠道更隐蔽、数据买卖链条更成熟,单次泄露对个人与机构的影响周期被显著拉长。可以预见,教育、医疗、公共服务等存量数据丰富、业务系统分散的领域仍将是攻击重点。如何在不影响教学科研与校友服务效率的前提下,提高身份验证强度、完善数据生命周期管理、强化跨部门协同处置能力,将成为高校信息安全建设的关键方向。
当象牙塔的围墙被数据洪流冲击,这场波及全球顶尖学府的安全事件已不止于技术问题,更是对数字时代信任机制的一次检验;在黑客将个人信息明码标价的暗网世界,如何平衡开放共享与隐私保护,如何构建技术防御与安全意识并重的体系,值得所有推进数字化的机构认真思考。此次事件或许只是冰山一角,但已足以提醒我们:在数据即力量的时代,没有谁能置身事外。