L’Université d’Oxford a révélé une violation de données affectant les utilisateurs de sa plateforme de carrières CareerConnect après que des attaquants ont obtenu un accès non autorisé à des informations stockées par un fournisseur de services tiers.
L’incident n’impliquait pas les systèmes d’Oxford eux-mêmes. Au contraire, la faille a touché CareerConnect, une plateforme utilisée par les étudiants, anciens élèves, chercheurs et employeurs, exploitée par le fournisseur de technologies de carrière GTI.
Selon le Careers Service d’Oxford, les attaquants pouvaient accéder aux prénoms, noms de famille et adresses e-mail des utilisateurs. Pour certains utilisateurs, des mots de passe chiffrés étaient également exposés. Les mots de passe concernés appartenaient à des utilisateurs qui se connectent directement via CareerConnect plutôt que via le système Single Sign-On d’Oxford.
Oxford a indiqué que les étudiants utilisant le Single Sign-On n’ont pas été affectés par l’exposition au mot de passe, bien que leurs noms et adresses e-mail aient pu être consultés. Les anciens élèves, le personnel de recherche et les employeurs utilisateurs qui utilisent les mots de passe CareerConnect ont été tenus de réinitialiser leurs identifiants.
L’université n’a pas divulgué le nombre d’utilisateurs concernés.
GTI a informé Oxford de l’incident le 28 mai et a indiqué qu’une vulnérabilité de la plateforme avait été exploitée par une partie non autorisée. L’entreprise a depuis résolu le problème et mis en place des mesures de sécurité supplémentaires, selon l’université.
Oxford a indiqué qu’il n’y a aucune preuve que des informations de cours, fichiers téléchargés, dossiers de rendez-vous ou informations financières aient été compromis lors de la violation. L’université a également indiqué qu’il n’y avait aucune indication que les systèmes internes d’Oxford aient été consultés.
Selon GTI, la violation semblait viser à collecter des identifiants pouvant ensuite être utilisés dans des campagnes de phishing. En conséquence, Oxford met en garde les utilisateurs pour qu’ils soient prudents face aux e-mails et messages inattendus qui semblent provenir de l’université, de GTI ou de CareerConnect.
L’université a conseillé aux utilisateurs de vérifier de manière indépendante les demandes d’informations personnelles ou financières et leur a rappelé qu’Oxford ne demandera jamais de mots de passe par e-mail ou par plateformes de messagerie.
Oxford a indiqué que la plateforme CareerConnect a été sécurisée et reste sûre à utiliser. L’université a ajouté que les utilisateurs concernés seront contactés directement si une action supplémentaire devient nécessaire.