文章总结： 文档报道2026年4月麦格劳-希尔因Salesforce配置错误遭ShinyHunters团伙攻击，导致1350万用户数据泄露，涉及邮箱、姓名等敏感信息。事件揭示云服务配置安全短板，强调企业需加强第三方平台风险管控。同期提及AWS漏洞修复、Chrome安全更新等多起网络安全事件，反映当前数据安全威胁从系统漏洞向配置错误转移的趋势。 综合评分： 85 文章分类： 数据泄露,云安全,漏洞预警,供应链安全,威胁情报

国外：一周网络安全态势回顾之第146期，全球知名教育出版商麦格劳-希尔数据泄露

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年4月19日 16:17 河南

在小说阅读器读本章

去阅读

以下是本周的精彩亮点：

参议院采取行动加强商业卫星防御

由参议员加里·彼得斯和约翰·科宁共同提出的两党法案近期通过了关键的委员会审批，旨在帮助卫星运营商打击黑客和外国敌对势力。《2025年卫星网络安全法案》指示商务部建立一个安全最佳实践中心资源库，并要求美国政府问责局（GAO）对卫星网络安全防护措施进行研究。这项加强保护的举措正值研究表明，尽管商业卫星信号承载着敏感数据，但仍有大约一半未加密之际。

当局拆除了W3LL网络钓鱼工具包基础设施

美国联邦调查局亚特兰大分局和印尼国家警察联手捣毁了一个复杂的网络犯罪团伙，该团伙利用定制的钓鱼服务平台，企图诈骗超过2000万美元。据称，该团伙的主要开发者GL出售W3LL钓鱼工具包的访问权限，并运营一个交易平台，导致超过25000个账户被盗用。

Meta为顶尖研究人员配备专业的测试套件

Meta与PortSwigger合作，向在其漏洞赏金平台HackerPlus上达到白银级别的安全研究人员提供Burp Suite Pro许可证。此举旨在帮助研究人员提升技能，更高效、更创新地寻找漏洞。

AWS RES漏洞可导致命令执行和权限提升

AWS Research and Engineering Studio (RES)中存在多个漏洞，允许已认证用户执行任意命令并提升权限。CVE-2026-5707和 CVE-2026-5709 源于未经过过滤的输入，使得攻击者能够对虚拟桌面主机和集群管理器EC2实例进行命令注入攻击；而CVE-2026-5708 则允许攻击者通过精心构造的 API 请求获取实例配置文件权限。AWS已在2026.03版本中修复了这些问题。

GlassWorm插件已推广至所有开发者IDE

一种新的GlassWorm变种利用嵌入在恶意 OpenVSX 扩展中的 Zig 编译的本地投放器，该扩展伪装成 WakaTime，使其能够绕过典型的扩展沙箱机制，并以完全系统权限执行。执行后，它会扫描基于 VS Code 的 IDE（Visual Studio Code、Cursor、Windsurf、VSCodium 和 Positron），并在所有检测到的环境中安装第二阶段有效载荷。

ShinyHunters瞄准了Rockstar Games

威胁组织ShinyHunters威胁要泄露据称从Rockstar Games窃取的数据，这些数据是通过利用Anodot云成本监控工具中的身份验证令牌泄露的。该组织称，此次泄露事件导致Rockstar的Snowflake数据仓库实例遭到未经授权的访问。Rockstar Games已确认第三方泄露事件导致少量非实质性信息“有限”泄露，但坚称核心运营和玩家数据未受影响。

ShowDoc中的关键远程代码执行漏洞已被发现并被积极利用。

攻击者正积极利用ShowDoc（一款在中国广受欢迎的IT文档和协作平台）中的一个严重远程代码执行漏洞来部署Web Shell。该漏洞编号为 CVE-2025-0520，源于ShowDoc不受限制的文件上传机制，该机制未能正确验证未经身份验证用户的文件扩展名。2.8.7版本已发布了补丁。最新情报显示，仍有数千个实例暴露在互联网上。

警方逮捕了一名扰乱教育网络秩序的青少年。

北爱尔兰警方拘留了一名16岁少年，该少年涉嫌对C2k教育系统发起定向网络攻击。C2k教育系统为该地区几乎所有学校提供核心IT服务。教育局证实，此次攻击导致少数机构的个人数据泄露。

美国环保署将网络安全预算增加至1900万美元。

美国环保署（EPA）2027财年预算提案大幅增加信息安全和水务网络安全防御方面的资金，以应对恶意行为者日益增长的威胁。其中一项关键举措是申请在现有的饮用水基础设施韧性补助计划（Drinking Water Infrastructure Resilience Grant Program）内新增网络安全补助金，旨在帮助供水系统加强基础设施建设。该机构信息安全计划的总资金预计将翻一番，达到1910万美元。

ShinyHunters泄露了数百万条麦格劳-希尔用户记录

ShinyHunters勒索团伙利用配置错误的Salesforce环境，泄露了与1350万个麦格劳-希尔（McGraw Hill）账户相关的数据。该数据集总计超过100GB，包含电子邮件地址、姓名、电话号码和实际地址。提供教育解决方案的麦格劳-希尔表示，其核心系统和敏感数据并未受到损害。

Chrome漏洞为研究人员赢得9万美元奖金

谷歌在 Chrome 147版本中修复了31个漏洞，其中包括ANGLE图形组件中一个严重的堆缓冲区溢出漏洞（编号CVE-2026-6296），该漏洞的发现者“Cinzinga”因此获得了9万美元的奖励。此次更新还修复了V8、PDFium和媒体子系统等组件中的多个高风险内存安全问题，例如释放后使用和类型混淆漏洞。

ShinyHunters泄露了数百万条麦格劳-希尔用户记录

全球知名教育出版商麦格劳-希尔（McGraw Hill）在2026年4月确认发生一起大规模数据泄露事件，此次事件由知名数据勒索组织 ShinyHunters 发起。攻击者通过利用该公司在 Salesforce 云环境中的配置错误，获取了存储在相关网页中的数据，并在未支付赎金的情况下将数据公开泄露。该公司成立于1909年，是覆盖K-12、高等教育及职业教育领域的重要数字教育服务提供商，此次事件也因此引发广泛关注。

从影响范围来看，数据泄露规模巨大。根据数据泄露监测平台“Have I Been Pwned”的统计，此次事件共涉及约1350万个用户账户，泄露数据总量超过100GB，包含大量用户邮箱地址，并在部分记录中包含姓名、电话号码及物理地址等信息。这些数据具备较强的可利用性，可能被攻击者用于后续的钓鱼攻击、身份冒用及精准诈骗等活动。

从攻击路径来看，此次事件并非传统意义上的系统入侵，而是典型的云配置错误导致的数据暴露。麦格劳-希尔官方表示，攻击者访问的是托管在 Salesforce 平台上的某个网页数据，属于“有限数据集”，且未涉及其核心系统、客户数据库或教学平台。这种攻击方式说明，在云服务环境中，即便核心系统安全，外围配置不当同样可能成为数据泄露的突破口。

在事件博弈层面，ShinyHunters 延续其一贯的数据勒索策略。该组织声称其掌握多达4500万条包含个人身份信息（PII）的记录，并将麦格劳-希尔列入其暗网泄露站点，要求在截止日期前支付赎金，否则将公开数据。尽管企业方面对数据敏感性进行了弱化表述，但攻击者公开的数据规模与第三方验证结果之间存在明显差异，反映出当前数据泄露事件中“实际影响”与“官方披露”之间的常见信息不对称问题。

从行业视角看，此次事件再次凸显教育行业面临的系统性风险。一方面，教育平台积累了大量学生及用户的个人信息，是攻击者的重要目标；另一方面，云服务（如 Salesforce）广泛应用，但配置管理复杂，一旦权限控制或访问策略出现疏漏，极易形成“无感暴露”。此次事件也被认为是近年来多起 Salesforce 相关数据泄露事件中的典型案例，表明云环境配置安全已成为企业数据安全治理的关键短板。

总体而言，该事件的核心教训在于：数据安全风险正从“系统漏洞”向“配置错误”和“第三方平台风险”转移。即使企业核心系统未被攻破，只要存在云资源暴露、权限过度开放等问题，依然可能造成大规模数据泄露，并引发后续的连锁安全威胁。

2025收集更新信通院白皮书系列合集（665个）下载

——等级保护

数据安全风险评估培训杂谈

打破“一考定终身”测评师迎来严峻挑战

欲等保定级先数据分类分级

2025公安部网安局等保工作最新要求逐条解析

公网安〔2025〕1846号文：风险隐患及工作方案释疑浅谈

公网安〔2025〕1846号文：数据摸底调查释疑浅谈

公网安〔2025〕1846号文：第五级网络系统释疑浅谈

公网安〔2025〕1846号文：定级备案的最新释疑浅谈

关于25年定级备案公安部网安局释疑的一点浅谈

公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函

新等保测评真的取消打分了吗？一点杂谈！

新定级备案模板明确数据安全纳入等级保护体系

等保定级新模板新要求，2025定级工作新变化

2025新形势下新等保备案如何开展

测评机构老板与销售注意：浅谈测评机构如何更好的满足属地网安监管？

网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系

河南省新规定测评与密评预算再调低

四川省等级测评与商密评估预算计算方法

广西壮族自治区等级测评与商密评估预算为几何？

黑龙江财政关于等级测评与商密评估预算为几何？

和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》

和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》

与Deepseek一起谈开展等级测评的必要性！

——数据安全

《网络数据安全管理条例》解读

跟着DAMA专家看数据管理的未来

市场监管总局印发《网络交易合规数据报送管理暂行办法》

数据安全知识：什么是数据安全？

网警提醒 | 3.31世界备份日：重视你的数据安全

网络和数据安全合规：15部门发布指导意见助力中小企业全面合规

数码复印机数据安全：企业指南

《数据安全法》中有关数据安全保护的法律义务

——错与罚

江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万

网络安全无小事！某企业因疏于防护被依法查处

江苏灌南农商行因违反数据安全管理规定等被罚97.5万

网安企业“内鬼”监守自盗，窃取个人信息2.08亿条

郑州3家公司未履行网络安全保护义务被网信部门约谈

25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚

驻马店市委网信办就网络安全问题依法约谈相关责任单位

两家银行因数据安全相关问题，被罚款

河北保定竞秀区委网信办依法约谈网站负责人

贵港市网信办公布2起网络安全违法违规典型案例

公安机关依法严厉打击侵犯公民个人信息犯罪，10起典型案例公布

重庆网信部门近期就企业违法违规情况开展多起约谈与处罚

新华社：中国电信、中国移动、中国联通，集体回应！

重庆网信部门就一企业系统遭境外组织攻击，开展联合公安约谈

——其他

浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案

精彩回顾：祺印说信安2024之前

祺印说信安2024年一年回顾

网警提醒 | 3.31世界备份日：重视你的数据安全

网络安全知识：什么是技术债务？

网络安全知识：网络威胁情报解析

5月1日起，《国家秘密定密管理规定》正式施行

黑客攻击远程服务器十大弱口令

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《国外：一周网络安全态势回顾之第146期，全球知名教育出版商麦格劳-希尔数据泄露》