Il pomeriggio del 18 marzo 2026 un attore non autorizzato è entrato nell'account Salesforce di un dipendente Infinite Campus. Il sistema, usato per ticket interni e case management, ha consentito l'accesso a nomi e contatti di personale scolastico. Tre mesi dopo, il 15 giugno 2026, i dati sono comparsi su Have I Been Pwned: 137.123 indirizzi email unici, pubblicati da ShinyHunters dopo che l'azienda ha rifiutato il riscatto. L'incidente riapre il problema della supply chain SaaS nel settore education-tech.
- L'intrusione è avvenuta il 18 marzo 2026 tramite compromissione di un account Salesforce dipendente, sistema di ticketing separato dal SIS studente.
- I dati esposti sono 137.123 email uniche di personale scolastico, aggiunte a Have I Been Pwned il 15 giugno 2026, secondo il dato riportato da TechNadu.
- Infinite Campus ha confermato che nessun database cliente è stato compromesso e che le informazioni studente non sono state toccate.
- ShinyHunters ha tentato estorsione "pay or leak", poi pubblicato il dataset dopo il rifiuto di Infinite Campus di negoziare.
Come è entrato l'attaccante
Infinite Campus descrive l'evento con precisione nella notifica inviata ai distretti clienti. "On the afternoon of Wednesday, March 18, 2026, an unauthorized actor gained access to an Infinite Campus employee's Salesforce account. Salesforce is the company's internal case management and ticketing system — it is not the student information system itself." La citazione, riportata dal distretto scolastico di Orange County, blocca ogni ambiguità sul vettore: non un attacco al SIS core, ma a una piattaforma SaaS di supporto.
La distinzione architetturale ha contenuto l'impatto. Il sistema studente, dove risiedono voti, assenze, dati sanitari e demografici, è rimasto fuori dalla portata dell'intrusione. Questo è il dato che Infinite Campus e i suoi clienti hanno messo in primo piano. Tuttavia, il CRM di supporto conteneva comunque dati operativi: nomi, ruoli, istituzioni di appartenenza, canali di contatto del personale che interagisce con il vendor.
Non emerge dalle fonti quale meccanismo specifico abbia aperto l'account Salesforce. Phishing, credential stuffing, hijacking di sessione o compromissione di credenziali precedenti restano ipotesi non documentate. Il dossier non identifica il dipendente coinvolto né il percorso esatto dell'autenticazione violata.
Cosa è stato rubato e cosa no
Charlie Kratsch, fondatore e CEO di Infinite Campus, ha delineato il perimetro del dato esposto. Le sue dichiarazioni, riportate da SC World sulla base di BleepingComputer, indicano "only names and contact details for school staff, as well as other typically publicly available data". TechNadu aggiunge che "the majority of the information is directory information commonly found on school websites".
"only names and contact details for school staff, as well as other typically publicly available data, had been accessed by attackers, while no customer databases were compromised" — Charlie Kratsch, CEO Infinite Campus
Il dato quantitativo è preciso: 137.123 indirizzi email unici, secondo Have I Been Pwned come riportato da TechNadu. Questo numero si riferisce esclusivamente alle email distinte nel dataset, non al conteggio totale di record né al numero di distretti coinvolti. Le fonti non quantificano quanti istituti siano effettivamente inclusi nei 137.123 indirizzi. È un'area di incertezza che il dossier non chiude.
Ciò che le fonti escludono è altrettanto definito. Infinite Campus ha esplicitamente negato che informazioni studente siano state violate. Cloaked, nella sua analisi, segnala "no evidence" di dati sensibili come SSN o informazioni finanziarie. Questo allineamento tra fonte ufficiale, fonte di sicurezza e fonte commerciale riduce il rischio di sottostima, ma non annulla la criticità della posizione per il personale scolastico esposto.
L'estorsione e la pubblicazione
ShinyHunters ha gestito l'aftermath secondo il proprio modello operativo consolidato. TechNadu documenta una campagna "pay or leak": tentativo di estorsione seguito, in caso di mancato pagamento, dalla pubblicazione integrale del dataset. Infinite Campus ha scelto la seconda strada. Cloaked riporta che l'azienda "have outright refused to negotiate or pay any part of the ransom". SC World conferma il "refusal to engage with hackers".
La pubblicazione è avvenuta il 15 giugno 2026, data di inclusione in Have I Been Pwned. La tempistica — quasi tre mesi dall'intrusione — riflette un ciclo di extortion più lungo di quelli istantanei tipici dei ransomware tradizionali, dove la pubblicazione segue il mancato pagamento entro termini stretti. Questo pattern suggerisce che ShinyHunters abbia valutato il dataset come asset negoziale, non come merce da riversare immediatamente, probabilmente in ragione del volume e della verticalizzazione education.
SecurityWeek, nel suo ruolo di contesto, colloca ShinyHunters in una fase di attività intensa su target correlati a piattaforme Salesforce. Sebbene la fonte non tratti direttamente il caso Infinite Campus, il quadro complessivo indica che il gruppo sta sondando sistematicamente account SaaS con accesso a basi utente organizzate, preferendo vettori di terzo piano ai sistemi core protetti più aggressivamente.
Risposta di Infinite Campus e limiti noti
Dopo il rilevamento, Infinite Campus ha disabilitato l'account compromesso e avviato un processo di remediation. SC World documenta due azioni specifiche: scanning completo dei dati Salesforce condotto con partner esterni, e deactivation di alcuni servizi per clienti privi di restrizioni IP. Il CEO Kratsch ha confermato che nessun database cliente è stato compromesso.
Il dossier non permette di valutare l'efficacia concreta della deactivation per clienti senza IP restrictions. Non è chiaro quali servizi siano stati disattivati, per quanti clienti, né per quanto tempo. Questo elemento, presente nelle fonti come azione intrapresa, manca di dettaglio operativo sufficiente a stabilirne l'impatto sulla superficie di attacco residua.
Resta inoltre sconosciuto se Infinite Campus abbia notificato autorità regolatorie o attorney general, oltre ai distretti scolastici clienti. Il flusso informativo documentato riguarda la catena vendor-distretto-personale, non l'eventuale coinvolgimento di enforcement o regulatori sulla base di framework statali specifici. Il dossier non lo esclude, ma non lo conferma.
Cosa fare adesso
Per i CISO dei distretti scolastici che utilizzano Infinite Campus o analoghi vendor SIS, il dossier suggerisce priorità di verifica concentrate su tre assi. Innanzitutto, controllare che i contatti di staff registrati presso il vendor siano effettivamente quelli operativi e non alias condivisi. In secondo luogo, verificare se il distretto abbia attivato le restrizioni IP sui servizi di supporto del vendor, dato che la deactivation ha colpito proprio i clienti privi di questa protezione. Terzo, monitorare le credenziali dei propri utenti staff in HIBP per identificare esposizioni incrociate che combinino email, nomi e istituzioni.
Infine, il caso ripropone il dibattito sulla classification dei dati esposti. Quando nomi, ruoli e email di personale educativo sono già pubblici sui siti dei distretti, la notifica di breach assume contorni diversi. Ma l'aggregazione a scala vendor — che collega un individuo a una piattaforma specifica, a un distretto, a un ruolo nel sistema educativo — trasforma directory information in asset di intelligence per spear-phishing mirato. La compliance FERPA, che tratta questi dati come pubblici, non misura il rischio di weaponization. Il gap tra legale e risk resta aperto.
Il paradosso è che un attacco tecnicamente "minore" — nessun SIS compromesso, nessun dato studente esposto, nessuna informazione finanziaria rubata — genera comunque una superficie di attacco sociale vasta. 137.123 persone con ruolo educativo, ora associate a un vendor specifico, sono bersaglio potenziale per campagne di phishing che sfruttano il contesto trust inherent al settore scolastico. La separazione architetturale ha salvaguardato i database, non la fiducia operativa.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/shinyhunters-claims-council-of-europe-hack/
- https://www.orangecountyfirst.com/p/~board/latest-news-orange-county-school-district-2699/post/cybersecurity-update-march-23-2026-infinite-campus-reports-data-breach
- https://www.cloaked.com/post/are-your-districts-staff-details-at-risk-after-the-infinite-campus-school-data-breach
- https://www.scworld.com/brief/infinite-campus-reports-hack-after-shinyhunters-extortion-attempt
- https://www.technadu.com/shinyhunters-publishes-infinite-campus-data-in-extortion-campaign-linked-to-salesforce-137000-emails-exposed/629334/
- https://ads.securityweek.com/getad.img/;libID=5517614