La Universidad de Oxford ha revelado una brecha de datos que afecta a usuarios de su plataforma de carreras CareerConnect después de que los atacantes obtuvieran acceso no autorizado a información almacenada por un proveedor de servicios externo.
El incidente no involucró los propios sistemas de Oxford. En cambio, la brecha afectó a CareerConnect, una plataforma utilizada por estudiantes, antiguos alumnos, investigadores y empleadores, gestionada por el proveedor de tecnología profesional GTI.
Según el Servicio de Carreras de Oxford, los atacantes podían acceder a los nombres de pila, apellidos y direcciones de correo electrónico de los usuarios. Para algunos usuarios, también se expusieron contraseñas cifradas. Las contraseñas afectadas pertenecían a usuarios que iniciaban sesión directamente a través de CareerConnect en lugar del sistema de Inicio de Sesión Único de Oxford.
Oxford indicó que los estudiantes que usan Inicio de sesión Único no se vieron afectados por la exposición de contraseñas, aunque es posible que sus nombres y direcciones de correo electrónico hayan sido accedidos. Se ha exigido a antiguos alumnos, personal de investigación y usuarios empleadores que dependen de las contraseñas de CareerConnect para restablecer sus credenciales.
La universidad no ha revelado cuántos usuarios se vieron afectados.
GTI informó a Oxford sobre el incidente el 28 de mayo y dijo que una vulnerabilidad en la plataforma había sido explotada por una parte no autorizada. Desde entonces, la empresa ha solucionado el problema e implementado medidas de seguridad adicionales, según la universidad.
Oxford afirmó que no hay pruebas de que la información del curso, archivos subidos, registros de citas o información financiera hayan sido comprometidos en la brecha. La universidad también declaró que no hay indicios de que se accediera a los sistemas internos de Oxford.
Según GTI, la brecha parecía centrarse en recopilar credenciales que luego podrían usarse en campañas de phishing. Como resultado, Oxford advierte a los usuarios que tengan cuidado con correos electrónicos y mensajes inesperados que parezcan provenir de la universidad, GTI o CareerConnect.
La universidad aconsejó a los usuarios verificar de forma independiente las solicitudes de información personal o financiera y les recordó que Oxford nunca pedirá contraseñas por correo electrónico o plataformas de mensajería.
Oxford afirmó que la plataforma CareerConnect ha sido asegurada y sigue siendo segura para su uso. La universidad añadió que los usuarios afectados serán contactados directamente si es necesario tomar medidas adicionales.