De Universiteit van Oxford heeft een datalek bekendgemaakt die gebruikers van haar CareerConnect carrièreplatform treft, nadat aanvallers ongeautoriseerde toegang kregen tot informatie die door een derde partij was opgeslagen.
Het incident betrof niet de eigen systemen van Oxford. In plaats daarvan trof de inbreuk CareerConnect, een platform dat wordt gebruikt door studenten, alumni, onderzoekers en werkgevers en wordt beheerd door loopbaantechnologieprovider GTI.
Volgens de Careers Service van Oxford konden aanvallers toegang krijgen tot de voornamen, achternamen en e-mailadressen van gebruikers. Voor sommige gebruikers werden ook versleutelde wachtwoorden blootgesteld. De getroffen wachtwoorden waren van gebruikers die direct via CareerConnect inlogden in plaats van via het Single Sign-On-systeem van Oxford.
Oxford zei dat studenten die Single Sign-On gebruiken niet werden beïnvloed door de blootstelling van het wachtwoord, hoewel hun namen en e-mailadressen mogelijk zijn benaderd. Alumni, onderzoeksmedewerkers en werkgeversgebruikers die afhankelijk zijn van CareerConnect-wachtwoorden zijn verplicht hun inloggegevens te resetten.
De universiteit heeft niet bekendgemaakt hoeveel gebruikers zijn getroffen.
GTI informeerde Oxford op 28 mei over het incident en meldde dat een kwetsbaarheid in het platform was misbruikt door een ongeautoriseerde partij. Het bedrijf heeft het probleem sindsdien opgelost en extra beveiligingsmaatregelen ingevoerd, aldus de universiteit.
Oxford zei dat er geen bewijs is dat cursusinformatie, geüploade bestanden, afsprakendossiers of financiële informatie is gecompromitteerd bij de inbreuk. De universiteit verklaarde ook dat er geen aanwijzing is dat de interne systemen van Oxford zijn benaderd.
Volgens GTI leek de inbreuk gericht op het verzamelen van inloggegevens die later gebruikt konden worden in phishingcampagnes. Daarom waarschuwt Oxford gebruikers om voorzichtig te zijn met onverwachte e-mails en berichten die lijken te komen van de universiteit, GTI of CareerConnect.
De universiteit adviseerde gebruikers om verzoeken om persoonlijke of financiële informatie onafhankelijk te verifiëren en herinnerde hen eraan dat Oxford nooit om wachtwoorden zal vragen via e-mail of berichtenplatforms.
Oxford zei dat het CareerConnect-platform is beveiligd en nog steeds veilig in gebruik is. De universiteit voegde eraan toe dat getroffen gebruikers rechtstreeks worden benaderd als aanvullende maatregelen nodig zijn.