McGraw Hill lộ 13,5 triệu hồ sơ người dùng, xuất hiện trên site của nhóm ransomware ShinyHunters

McGraw Hill lộ 13,5 triệu hồ sơ người dùng, xuất hiện trên site của nhóm ransomware ShinyHunters

Tập đoàn xuất bản sách giáo khoa McGraw Hill vừa bị lộ 13,5 triệu bản ghi dữ liệu cá nhân do lỗi cấu hình trên nền tảng Salesforce. Nhóm tội phạm mạng ShinyHunters đã đăng tải dữ liệu này lên trang web rò rỉ của họ sau khi công ty từ chối trả tiền chuộc.

Theo Have I Been Pwned (HIBP), vụ vi phạm dữ liệu này đã để lộ tên, số điện thoại, địa chỉ email và một số địa chỉ vật lý của người dùng. McGraw Hill mô tả nguồn gốc của vụ việc là một "trang web được lưu trữ trên Salesforce có giới hạn", tuy nhiên khối lượng dữ liệu hiện đang lưu hành công khai lên tới hơn 100 GB và bao gồm 13,5 triệu địa chỉ email.

Nguyên nhân từ sự cố Salesforce

Hầu hết các sự cố xâm nhập liên quan đến Salesforce thường không bắt nguồn từ lỗ hổng trong chính nền tảng này, mà xuất phát từ thông tin đăng nhập bị đánh cắp, ứng dụng OAuth bị lạm dụng hoặc các tích hợp có quyền hạn quá mức (over-permissioned integrations). Những yếu tố này cho phép kẻ tấn công có quyền truy cập hợp lệ để âm thầm rút ruột dữ liệu.

Vụ việc bùng phát vào đầu tuần này khi nhóm ShinyHunters bổ sung McGraw Hill vào trang web rò rỉ dữ liệu trên dark web của họ, bên cạnh các nạn nhân khác như Rockstar Games. Theo danh sách mà The Register đã nhìn thấy, nhóm này tuyên bố nắm giữ "hơn 40 triệu bản ghi Salesforce chứa dữ liệu PII" và cáo buộc công ty đã thất bại trong việc trả tiền chuộc trước hạn chót ngày 14 tháng 4.

Phản ứng từ McGraw Hill và Salesforce

McGraw Hill vẫn giữ im lặng trên các kênh chính thức của mình, không có bất kỳ đề cập nào về sự cố trên trang web hay phản hồi với các câu hỏi từ The Register. Tuy nhiên, trong các tuyên bố gửi cho các phương tiện truyền thông khác, công ty khẳng định hoạt động này "dường như là một phần của vấn đề rộng lớn hơn liên quan đến lỗi cấu hình trong môi trường của Salesforce, ảnh hưởng đến nhiều tổ chức".

Nhà xuất bản này cũng rất nỗ lực để giới hạn mức độ thiệt hại, khẳng định cuộc xâm nhập "không liên quan đến việc truy cập trái phép vào các tài khoản Salesforce, cơ sở dữ liệu khách hàng, giáo trình hoặc hệ thống nội bộ của McGraw Hill". Điều này có thể chính xác về mặt kỹ thuật, nhưng chắc chắn không mang lại sự an ủi nào cho những người có thông tin cá nhân hiện đang bị lưu tràn trên mạng.

Tính đến thời điểm hiện tại, Salesforce vẫn chưa phản hồi các câu hỏi từ báo chí.

ShinyHunters từng nhắm vào các môi trường liên kết với Salesforce trong quá khứ, bao gồm một chiến dịch vào năm 2025 khai thác các điểm yếu trong các dịch vụ kết nối thay vì đột nhập trực tiếp vào các hệ thống lõi.

Đối với McGraw Hill — một tổ chức được xây dựng dựa trên các nền tảng học tập kỹ thuật số và đánh giá từ giáo dục phổ thông đến đào tạo chuyên nghiệp — sự thật mang tính châm biếm này khó có thể bỏ qua. Bài học ở đây, ít nhất là đối với những người bị cuốn vào rắc rối này, là ngay cả sự phơi nhiễm "có giới hạn" cũng có thể tăng nhanh chóng một khi nó thoát ra bên ngoài.