哈佛與賓大遭駭客勒索：200萬校友資料外洩的警示

200萬筆個人資料在一夜之間流入暗網。這不是普通的資料外洩事件，受害者來自全球最頂尖的兩所學府：哈佛大學與賓州大學。

惡名昭彰的駭客組織ShinyHunters本週三在其專門的洩密網站上，公開了聲稱從兩所大學竊取的資料。每所大學都有超過100萬筆記錄被公開，包含電子郵件地址、電話號碼、住家與辦公地址、活動出席記錄、捐款詳情，以及其他與大學募款和校友活動相關的個人資訊。

社交工程：看不見的數位陷阱

賓州大學在去年11月確認了「與學校發展和校友活動相關的特定資訊系統」遭到入侵。更令人震驚的是，駭客竟然使用大學官方電子郵件地址，直接向校友發送宣布駭客攻擊的郵件。

大學將此次攻擊歸咎於「社交工程」，這是一種駭客冒充他人身份，誘騙目標做出平常不會做的行為的攻擊手法。而哈佛大學則遭受了「語音釣魚」攻擊，駭客透過電話誘騙目標點擊惡意連結或開啟附件。

TechCrunch透過比對校友資料和學生證號碼等公開記錄，驗證了部分外洩資料的真實性。

拒絕贖金的代價

為什麼駭客要公開這些資料？答案很簡單：兩所大學都拒絕支付贖金。

像ShinyHunters這樣的犯罪組織慣用「雙重勒索」手法，先竊取資料，再要求受害者付費以換取不公開資料。如果受害者拒絕付款，他們就會將資料公開作為報復。

值得注意的是，在攻擊賓州大學時，駭客還在給校友的郵件中加入了政治色彩的挑釁言論，批評平權措施政策。然而，ShinyHunters並非以政治動機聞名的組織，這些言論的真正目的仍不明確。

高等教育的新威脅

這起事件凸顯了一個令人不安的現實：即使是世界頂尖學府，在網路攻擊面前也可能不堪一擊。對於亞洲的頂尖大學，如台灣大學、香港大學、新加坡國立大學等，這絕非遙遠的威脅。

大學環境有其特殊性。數以萬計的學生、教職員和校友形成複雜的網路生態系統，資訊流動頻繁。同時，學術自由的傳統往往要求相對開放的系統架構，這與嚴格的資安控管形成矛盾。

然而，今次事件揭示了大學所掌握個人資料的高度價值。校友的職業背景、收入水準、捐款記錄，對詐騙集團而言都是珍貴的情報。在華人社會中，校友網絡往往更加緊密，這類資料的價值可能更高。

亞洲視角的思考

對華人世界而言，這起事件特別值得關注。許多華人學子在歐美頂尖大學就讀，他們的個人資料現在可能已經暴露在外。更重要的是，這些資料可能被用於針對華人社群的精準詐騙。

同時，這也提醒亞洲的高等教育機構需要重新審視自己的資安防護。隨著亞洲大學國際化程度提高，它們也將面臨更多來自全球的網路威脅。