Oracle 人事系統現高危安全漏洞 黑客竊取大量學生及員工資料

Oracle PeopleSoft 爆出嚴重漏洞 超過 100 間機構遭黑客入侵

甲骨文（Oracle）近日向企業客戶發出警告，指出旗下專門用嚟管理薪酬同人力資源嘅 PeopleSoft 系統出現嚴重級別嘅安全漏洞。喺警告發出前一日，知名黑客組織 ShinyHunters 已經公開承認利用呢個漏洞發動大規模攻擊，並聲稱已經成功入侵超過 100 間有使用 PeopleSoft 伺服器嘅機構。

系統出現零日漏洞 黑客無須密碼即可登入

Google 旗下嘅網絡安全團隊 Mandiant 發表報告指出，今次 Oracle 系統中出現嘅漏洞，正正就係 ShinyHunters 喺近期攻擊行動中所利用嘅同一個「零日漏洞」（Zero-day vulnerability）。由於漏洞被發現並遭到利用嗰陣，Oracle 仲未有足夠時間推出修復更新，令到黑客可以喺唔需要任何身分驗證（例如輸入密碼）嘅情況下，直接透過互聯網發動攻擊。

Mandiant 確認攻擊 多數受害者屬高等教育界別

Mandiant 確認已經通知全球超過 100 間機構，當中大部分位於美國，嘗試協助佢哋限制對可能受影響系統嘅存取權限。網絡安全專家指出，受影響嘅機構當中有大約三分之二屬於高等教育界別，情況同 ShinyHunters 早前聲稱嘅攻擊目標吻合。

大量敏感個人資料面臨外洩風險

雖然有部分機構成功阻擋攻擊或者自行採取措施減低風險，但亦有唔少機構不幸失守，導致大量機密數據被盜，部分資料更已經被公開喺 ShinyHunters 嘅資料洩漏網站上。據了解，黑客向其中一間受害學校發出嘅訊息顯示，佢哋聲稱已經盜取數以十萬計嘅學生紀錄，當中包括全名、住址、電話號碼、電郵地址、出生日期、性別、種族、入學狀態、成績平均績點（GPA）、主修科目以及學生證編號等極度敏感嘅個人資料。

今次事件只係 ShinyHunters 連串攻擊行動嘅最新一宗。喺過去一年，呢個組織曾經針對使用 Salesforce、Gainsight 以及教育軟件巨頭 Instructure 等平台嘅機構發動攻擊。黑客嘅慣常手法係尋找存在漏洞嘅軟件以及使用相關軟件嘅企業，然後盜取企業或客戶資料，再威脅受害者支付贖金。早前，Instructure 就曾經承認喺系統兩度被入侵後，向黑客支付咗贖金。

總結

雖然 Oracle 目前尚未針對今次 PeopleSoft 漏洞推出正式修復程式，但已經強烈建議所有使用相關軟件嘅客戶，必須立即採取官方建議嘅防禦措施，以防止系統遭到進一步破壞。對於香港、中國、台灣以及新加坡等華人地區嘅跨國企業或大專院校，如果內部有使用相關嘅人事管理系統，資訊科技部門應該盡快評估風險並加強網絡防禦，避免成為下一個受害者。