Die Universität Oxford hat eine Datenpanne bekanntgegeben, die Nutzer ihrer CareerConnect-Karriereplattform betrifft, nachdem Angreifer unbefugten Zugriff auf Informationen erhalten hatten, die von einem Drittanbieter gespeichert wurden.
Der Vorfall betraf nicht die eigenen Systeme Oxfords. Stattdessen betraf der Datenverstoß CareerConnect, eine Plattform, die von Studierenden, Alumni, Forschern und Arbeitgebern genutzt wird und vom Karrieretechnologieanbieter GTI betrieben wird.
Laut Oxfords Careers Service konnten Angreifer auf die Vornamen, Nachnamen und E-Mail-Adressen der Nutzer zugreifen. Für einige Nutzer wurden auch verschlüsselte Passwörter offengelegt. Die betroffenen Passwörter gehörten Nutzern, die sich direkt über CareerConnect anmelden und nicht über das Single Sign-On-System von Oxford.
Oxford erklärte, dass Studierende, die Single Sign-On nutzen, nicht von der Passwortexponierung betroffen seien, obwohl ihre Namen und E-Mail-Adressen möglicherweise abgerufen wurden. Alumni, Forschungspersonal und Arbeitgeber, die auf CareerConnect-Passwörter angewiesen sind, mussten ihre Zugangsdaten zurücksetzen.
Die Universität hat nicht bekannt gegeben, wie viele Nutzer betroffen waren.
GTI informierte Oxford am 28. Mai über den Vorfall und erklärte, dass eine Schwachstelle in der Plattform von einer unbefugten Partei ausgenutzt worden sei. Das Unternehmen hat das Problem inzwischen behoben und zusätzliche Sicherheitsmaßnahmen eingeführt, so die Universität.
Oxford erklärte, es gebe keine Beweise dafür, dass Kursinformationen, hochgeladene Dateien, Terminunterlagen oder Finanzinformationen bei der Sicherheitspanne kompromittiert wurden. Die Universität erklärte außerdem, dass es keinen Hinweis darauf gibt, dass die internen Systeme Oxfords genutzt wurden.
Laut GTI schien der Datenverstoß darauf ausgerichtet zu sein, Zugangsdaten zu sammeln, die später in Phishing-Kampagnen verwendet werden könnten. Daher warnt Oxford die Nutzer, vorsichtig bei unerwarteten E-Mails und Nachrichten zu sein, die scheinbar von der Universität, GTI oder CareerConnect stammen.
Die Universität riet den Nutzern, Anfragen nach persönlichen oder finanziellen Informationen unabhängig zu überprüfen, und erinnerte sie daran, dass Oxford niemals über E-Mail oder Messaging-Plattformen nach Passwörtern fragen wird.
Oxford erklärte, die CareerConnect-Plattform sei gesichert und weiterhin sicher in der Nutzung. Die Universität fügte hinzu, dass betroffene Nutzer direkt kontaktiert werden, falls weitere Maßnahmen erforderlich werden.