Oracle PeopleSoft 漏洞遭利用：高校 HR 与学生数据系统成批量勒索入口

Oracle 这次出问题的不是一款边缘工具，而是 PeopleSoft。

它常被大型机构拿来做人力资源、薪资、学生事务或后台管理。换句话说，系统里放的不是无关紧要的日志，而是员工、学生和业务对象的敏感数据。

Oracle 在 6 月 11 日发布安全公告，警告 PeopleSoft 存在高危漏洞。麻烦在于，这个漏洞可通过互联网远程利用，而且不需要认证。Oracle 发公告时尚未发布正式补丁，只给出缓解建议。

黑客组织 ShinyHunters 声称，已借此攻击使用 PeopleSoft 服务器的机构。Mandiant/Google 已通知 100 多家可能存在风险的全球机构，其中多数在美国，约三分之二属于高等教育领域。

这里要卡住一个关键区别：被通知“可能有风险”，不等于已经确认被攻破。真正需要看的，是哪些系统暴露在公网，哪些已经出现异常访问，哪些数据已经被拿走。

这次暴露的是入口，不是完整受害名单

Oracle 确认漏洞影响 PeopleSoft，并建议客户采取临时缓解措施。Mandiant 称，这正是 ShinyHunters 在攻击活动中利用的漏洞，并已通知相关机构限制潜在暴露系统的访问。

这件事最容易被夸大。它不是“所有 Oracle 产品都有问题”，也不能推成“所有 PeopleSoft 用户都已经中招”。目前能确认的是：有一个高危入口，已经被攻击者盯上；部分机构已发生入侵，数据出现在 ShinyHunters 的泄露网站上。

几个信息最好分开看：

对 IT 和安全负责人来说，判断顺序不复杂。

先确认有没有 PeopleSoft 服务器暴露在公网。再确认是否按 Oracle 建议做了缓解。接着查过去几周是否有异常访问、异常导出、登录页变化、大规模查询或可疑账号活动。

这不是等补丁就能完全解决的状态。补丁未发布前，暴露面越大，日志越乱，风险越难控。

高校为什么更容易被点名

Mandiant 称，被通知机构中约三分之二属于高等教育领域。这和 ShinyHunters 对外说法相符，但黑客自述仍要和第三方确认分开看。

高校使用 PeopleSoft 并不奇怪。很多大学和学院把它放在人事、薪资、学生事务或后台流程里。系统一旦被碰到，影响就可能从员工扩到学生。

高校的现实约束也更硬。

院系系统多，历史系统长，外包和第三方集成复杂。补丁窗口还常被招生、开学、财务结算、考试周期卡住。安全团队未必没有意识，而是系统链条太长，停机成本太高。

ShinyHunters 成员曾向 TechCrunch 展示一段据称发给某受害学校的信息，声称窃取了数十万条学生记录，字段包括姓名、住址、电话、邮箱、出生日期、性别、族裔、注册状态、GPA、专业和学生 ID 等。

这些字段属于黑客说法，尚未被独立证实。可即便只泄露其中一部分，学校也会立刻付出成本：通知学生、应对监管、重置账号、法律咨询、舆情解释，都会压到安全、法务和行政团队身上。

最相关的两类人，动作应该很具体。

高校 CIO 和安全负责人要先把 PeopleSoft 暴露面收窄，不要把调查排在补丁之后。采购和系统负责人则要暂停非必要的接口新增、外部开放和权限扩张，等风险边界清楚后再动。

这不是“要不要用 PeopleSoft”的简单选择。许多机构短期内根本迁不走。更现实的选择是：先把公网入口、权限、日志和数据导出链路压住。

这类勒索正在盯上企业后台软件

ShinyHunters 过去一年多次围绕通用软件和平台客户发动攻击。TechCrunch 此前报道中，它曾针对使用 Salesforce、Gainsight 以及教育科技公司 Instructure 相关系统的机构展开数据窃取和勒索。Instructure 今年还承认，在两次系统被攻破后与黑客达成付款安排。

这类攻击的思路很直接。

与其一家家研究目标，不如找一款被大量机构采用、又承载敏感数据的软件。只要入口能批量利用，攻击者就能把一个漏洞变成一批名单。

PeopleSoft 的危险就在这里。它平时不在公众视野里，但在企业和高校内部，它常常连着薪资、身份、学生档案和员工资料。平时无声，出事就是一串。

接下来不用看热闹，要盯三个变量。

我不太买账的是，把这事只当成又一个漏洞编号。

漏洞当然要修，但更深的问题是：很多机构的后台企业软件，长期被当作“内网系统”管理，却早已通过远程访问、集成接口、第三方运维和历史配置接上了外部世界。

门开了，攻击者不会敲门。