文章总结： 美国K-12系统InfiniteCampus遭ShinyHunters攻击，约13万教职员工姓名、地址及内部工单泄露。数据聚合增加社工与钓鱼风险，工单暴露更易辅助定向攻击。建议受影响用户立即更新强密码并启用多因素认证，警惕相关钓鱼信息。 综合评分： 78 文章分类： 数据泄露,威胁情报,安全意识,社会工程学

Infinite Campus 数据泄露致13万名用户个人信息外泄

亮哥亮哥 亮哥亮哥

信安社群

2026年6月17日 17:30 广东

在小说阅读器读本章

去阅读

请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注！

Infinite Campus，这是美国 K-12 学校广泛使用的学生信息系统，披露了一起影响约 13万人的数据泄露事件。

该事件与以大规模数据盗窃和敲诈活动闻名的网络犯罪组织 ShinyHunters 有关。此次泄露事件发生于 2026 年 3 月，作为“支付或泄露”行动的一部分。

攻击者窃取了敏感数据并要求赎金以阻止公开，但在声称其要求被忽视后，ShinyHunters 发布了据称被盗的数据集。

泄露的数据包括电子邮件地址、姓名、电话号码、实际地址、用户名、职位名称、雇主以及内部支持工单。

Infinite Campus 表示，这些数据大多是关于学校教职员工的目录信息，这些信息通常在机构网站上公开。

然而，将这些数据汇聚到单一数据集中会增加滥用的风险。

尽管此次泄露主要影响学校教职员工而非学生，但支持工单的曝光可能为内部系统提供更多背景信息，可能帮助威胁行为者策划定向攻击。

攻击者如何获得访问权限的完整技术细节尚未披露。然而，数据的性质表明后端系统或支持基础设施可能被攻破。

ShinyHunters 此前曾与涉及泄露数据库和被盗凭证的泄露事件有关。该组织经常通过地下论坛分发被盗数据，以施压企业并加剧声誉损害。

他们的持续活动凸显了处理大量用户信息的组织在访问控制和数据保护实践上的持续弱点。

Infinite Campus 已开始通知受影响人员，并建议用户保持警惕。即使泄露的信息看起来敏感度较低，仍可被用于钓鱼、基于身份的攻击和社交工程活动。

此事件凸显了教育技术平台面临日益严重的网络安全风险。同时也凸显了看似常规的数据在大规模暴露后，如何成为网络犯罪行动的重要资源。

LEO建议：受影响用户更新密码为强密码和密码组合，并尽可能启用多因素认证。用户还应监控账户是否有可疑活动，并警惕涉及学校相关服务的意外邮件或消息。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安社群 亮哥亮哥 亮哥亮哥《Infinite Campus 数据泄露致13万名用户个人信息外泄》