黑客入侵宾夕法尼亚大学,滥用官方邮箱群发挑衅邮件
近日,美国常春藤盟校之一的宾夕法尼亚大学(University of Pennsylvania,简称宾大)遭遇严重网络安全事件。
黑客入侵校内邮件系统,利用官方邮箱向学生、校友和教职员工群发大量挑衅邮件,并声称已窃取超过120万名捐赠者及校友的敏感数据。
1
官方邮箱遭滥用群发挑衅邮件
当地时间上周五早晨,多名宾大校友、学生及教职员工陆续收到主题为 “We got hacked (Action Required)”(我们被黑了——需采取行动) 的邮件。
邮件内容极具侮辱性,攻击宾大的安全防护与招生政策,甚至声称该校“喜欢违反联邦法规(如 FERPA)”和“录取不合格学生”。
部分邮件截图显示,这些邮件确实通过宾大官方域名 connect.upenn.edu 发送,发件人地址包括教育研究生院(Graduate School of Education,GSE)及疑似多名校内高层人员的邮箱。
多名接收者称,自己收到了多封相同内容的邮件,但发件人不同,均显示为宾大官方邮箱。
宾大发言人 Ron Ozio 回应媒体称:“一封伪造的邮件正在传播,看似来自宾夕法尼亚大学教育研究生院,但其实完全是假的。邮件中那些高度冒犯、伤人的内容,与宾大及其教育研究生院毫无关联。”
2
邮件系统通过 Salesforce 平台发送
网络安全媒体验证发现,这些邮件确实源自宾大使用的邮件列表系统 connect.upenn.edu,该平台托管于 Salesforce Marketing Cloud。目前尚不清楚黑客是否通过攻陷宾大的 Salesforce 账户而获得邮件系统访问权限。
事件发生后,宾大在官方网站首页添加了安全提示横幅,提醒用户直接忽略相关邮件,并称校方“已知悉情况并在处理”。
3
事件曝光后,一名黑客声称对此次攻击负责,并表示入侵范围“远超邮件系统”。
黑客称其组织完全接管了一名员工的 PennKey 单点登录(SSO)账户,从而访问了包括 VPN、Salesforce 数据、Qlik 分析平台、SAP 商业智能系统及 SharePoint 文件系统在内的多套内部系统。
该黑客进一步声称,他们在 10 月 30 日入侵系统,并在 10 月 31 日下载完全部数据,随后该账户被锁定。但在失去内部系统访问权限后,他们仍能使用 Salesforce 平台群发邮件。
根据其提供的证据,攻击者声称已窃取约 120 万名学生、校友及捐赠者的个人数据,包括:姓名、出生日期、住址、电话号码;捐赠记录与估算净资产;宗教信仰、种族及性取向等人口统计信息。
攻击者展示了部分截图及样本数据,并公开发布了一个 1.7GB 压缩包,据称包含从 SharePoint 和 Box 平台窃取的文件。目前这些数据尚未公开全部内容,但黑客声称“可能会在一两个月内泄露”。
该黑客表示,他们并未勒索学校,也未提出赎金要求,称“宾大不会付钱,而数据本身已经足够有价值”。
攻击者同时否认政治动机,称此次行动的主要目的在于获取宾大庞大的捐赠者数据库,但也表示“对这些服务富人和捐赠者的机构毫无好感”。
4
攻击或与政治立场相关
有分析认为,黑客选择宾大作为攻击目标,或与其近期的政治立场有关。据悉,宾夕法尼亚大学是拒绝签署白宫提出的 “高等教育学术卓越协议(Compact for Academic Excellence in Higher Education)” 的七所高校之一。
该协议要求高校取消招生与聘用中的平权行动政策,限制国际生比例,并实施对跨性别学生不利的管理制度。
宾大校长 J. Larry Jameson 在致美国教育部长的公开信中表示,该协议“偏袒并强制保护仅限保守思想的表达”,与大学倡导的多样性和言论自由精神背道而驰。
5
高校需持续优化安全防护措施
此次事件显示,教育机构邮件系统与第三方营销平台的集成安全仍存在显著风险。攻击者通过单点登录凭证的攻陷,成功横向移动并控制了多个核心系统,最终利用学校的官方域名发动大规模邮件攻击。
目前,宾大尚未披露事件溯源结果,但该事件再次提醒全球高校:
加强对 SSO 凭证和第三方 SaaS 平台的访问监控;
定期审查供应商安全策略;
提升内部邮件列表系统的安全审计与异常检测能力。
宾夕法尼亚大学事件凸显教育机构在网络安全与政治舆论交织背景下的脆弱性。随着攻击者不断转向高价值的学术和捐赠数据资源,未来高校面临的安全威胁将更加复杂和持久。
消息来源:bleepingcomputer
官方 