【量子位 2026年2月5日讯】常春藤盟校的 cybersecurity 防线再遭重创。2月4日,臭名昭著的黑客组织“ShinyHunters”在其专属勒索网站上,公开了据称从哈佛大学与宾夕法尼亚大学(简称宾大)窃取的超200万条个人记录——每所高校各逾100万条。TechCrunch 经校友核实与学生学号比对确认,泄露数据真实性无误,而黑客此举的直接原因,是两所高校拒绝支付赎金。这场始于2025年11月的 cyberattack,最终演变成美国高等教育领域近年来最严重的隐私泄露事件之一。
一、数据泄洪:从校友联络信息到顶级 donor 核心隐私
ShinyHunters 公开的数据集,精准命中两所高校“最敏感的资产”——与校友事务、筹款相关的核心信息,其细节之详尽远超初期披露:
-
哈佛: donor 隐私成重灾区泄露数据不仅包含普通校友的邮箱、电话、家庭及办公地址、活动出席记录,更曝光了顶级 donor 的捐赠明细与私人信息。据威胁情报公司 Hudson Rock 分析,脸书创始人马克·扎克伯格(Mark Zuckerberg)的6.04亿美元捐赠记录、私人邮箱与家庭住址,前纽约市长迈克尔·布隆伯格(Michael Bloomberg)的4.22亿美元捐赠信息,微软前CEO史蒂夫·鲍尔默(Steve Ballmer)的1.02亿美元捐赠档案均在其中。更令人震惊的是,数据中还包含2023年1月“比尔·盖茨顶级潜在捐赠者策略会议”的记录,列出9名参会者姓名及“说服盖茨增加捐赠”的具体方案,直接暴露高校筹款核心战略。
-
宾大:社会工程学攻破校友系统宾大的泄露数据聚焦“校友发展事务”,涵盖校友职业经历、捐赠历史、家庭关联信息(如配偶、子女是否为该校学生或潜在申请者)。2025年11月事发时,黑客曾冒用宾大官方邮箱向校友发送邮件,甚至在邮件中用“因偏爱legacy学生、捐赠者和不合格平权录取者,才招入蠢货”等煽动性语言,伪装成“反对平权行动”的政治动机,但 ShinyHunters 此前并无政治倾向记录,其真实目的仍是勒索。
-
数据滥用风险极高 cybersecurity 专家指出,这类包含“身份信息+财务能力+社会关系”的数据集,是 identity fraud 的“完美素材”。黑客可利用 donor 地址实施精准诈骗,或冒用校友身份申请贷款、伪造证件;对高校而言,筹款策略与 donor 隐私泄露,可能导致长期捐赠意愿下降——哈佛2025年筹款额超10亿美元,此次泄露或直接影响未来募捐计划。
二、攻击溯源:语音钓鱼与社会工程学,高校防线不堪一击
两所高校的 breach 均源于“人为漏洞”,而非复杂的技术破解,暴露了美国顶尖高校 cybersecurity 体系的显著短板:
-
哈佛:语音钓鱼突破核心系统哈佛在2025年11月下旬证实,攻击方通过“语音钓鱼(vishing)”得手——黑客拨打校内工作人员电话,伪装成IT部门人员,诱骗对方点击恶意链接、提供登录凭证,最终侵入校友事务与筹款系统。值得注意的是,这已是哈佛2025年第二次遭遇数据安全事件:同年10月,其数据曾卷入针对甲骨文(Oracle)客户的大规模 hacking campaign,当时已被预警“处于高风险类别”,但未及时加固防线。
-
宾大:社会工程学攻陷信息系统宾大将 breach 归咎于“社会工程学攻击”——黑客通过伪装身份(如校友、合作机构人员),诱导员工泄露系统访问权限,甚至直接用盗用的权限发送官方邮件。该校初期仅模糊表示“与发展及校友事务相关的部分系统受影响”,未披露数据类型,其官方 breach 披露页面现已下线,引发校友对“信息透明度”的质疑。
-
常春藤盟校集体防线薄弱此次事件并非个例。据福克斯新闻(Fox News)报道,2025年下半年以来,常春藤盟校已遭遇“连环 breach”:普林斯顿大学11月15日证实校友、donor 数据库被入侵,哥伦比亚大学6月的 breach 导致87万人(含学生、申请者)数据泄露。这些高校虽在科研、数字基建上投入巨资,却普遍存在“重技术采购、轻人员安全意识”的问题,内部员工成为 cyberattack 的最大突破口。
三、应对困局:高校沉默与黑客威慑,隐私补救滞后
面对数据公开,两所高校的应对态度分化,且整体补救措施明显滞后于风险扩散速度:
-
宾大:有限回应,合规性通知待启动宾大发言人罗恩·奥齐奥(Ron Ozio)仅表示“正在分析泄露数据,将根据适用隐私法规通知受影响个人”,未提及具体时间表或防护升级措施。由于美国《家庭教育权利和隐私法案》(FERPA)对高校数据保护有明确要求,宾大可能面临监管机构调查与潜在罚款。
-
哈佛:全程沉默,donor 信任危机加剧截至发稿,哈佛未对数据泄露事件作出任何公开回应,既未确认顶级 donor 信息是否泄露,也未向校友提供“如何监测身份盗用”的指引。这种沉默引发不满——部分校友在社交平台表示,“学校连基本的风险提示都没有,未来很难再信任其处理私人信息的能力”。
-
黑客威慑战术升级ShinyHunters 的操作符合典型勒索软件团伙策略:先窃取数据,以“不公开”为条件索要赎金,遭拒后公开部分数据施压,后续可能继续泄露剩余信息。该组织近期还被曝出使用“实时钓鱼工具包”,通过语音通话诱导目标登录伪造的 Okta 或微软 Entra 登录页面,窃取密码与多因素认证(MFA)代码,攻击成功率显著提升。
四、行业警示:高等教育成 cybercrime 新靶场,数据防护需“人技并重”
哈佛与宾大的事件,为全球高校敲响警钟——随着高校数字化程度提升,其存储的“校友+donor+学生”数据已成为 cybercriminals 的“金矿”,而现有防护体系存在三大核心漏洞:
-
数据高度集中且敏感高校的校友系统、筹款数据库往往整合个人身份、财务、社交关系等多维度信息,一旦泄露,危害远超普通企业数据;且多数高校将这类数据视为“内部资产”,未像金融机构那样建立严格的分级防护机制。
-
人员安全意识薄弱此次两校 breach 均源于“人为失误”,凸显高校在员工 cybersecurity 培训上的不足。据谷歌云 Mandiant 团队统计,针对教育机构的 cyberattack 中,70%涉及社会工程学或钓鱼攻击,而高校员工的识别率仅为28%,远低于企业平均水平。
-
应急响应机制滞后从发现 breach 到公开数据,间隔超3个月,两所高校均未及时启动“数据泄露应急预案”,也未第一时间通知潜在受害者,导致用户错失“冻结信用报告、修改密码”等最佳防护时机。
目前,ShinyHunters 的勒索网站仍可访问, cybersecurity 公司已开始为受影响校友提供免费信用监控服务。这场风波或许将推动美国高校重新审视数据保护策略——在追求数字化便利的同时,如何筑牢“人与技术并重”的安全防线,成为亟待解决的命题。
我可以帮你整理“高校数据泄露后个人防护清单”(含冻结信用报告、监测异常交易的具体步骤),以及 ShinyHunters 近年主要攻击案例,制作成一份“个人信息安全应对指南”,帮助你降低身份盗用风险。需要我这样做吗?
