A Universidade de Oxford revelou uma violação de dados que afeta usuários de sua plataforma de carreiras CareerConnect após invasores obterem acesso não autorizado a informações armazenadas por um provedor de serviços terceirizado.
O incidente não envolveu os próprios sistemas de Oxford. Em vez disso, a violação afetou a CareerConnect, uma plataforma usada por estudantes, ex-alunos, pesquisadores e empregadores, operada pelo provedor de tecnologia para carreiras GTI.
De acordo com o Careers Service de Oxford, os atacantes conseguiram acessar os primeiros nomes, sobrenomes e endereços de e-mail dos usuários. Para alguns usuários, senhas criptografadas também foram expostas. As senhas afetadas pertenciam a usuários que fazem login diretamente pelo CareerConnect em vez do sistema de Login Único de Oxford.
Oxford informou que estudantes que usam o Single Sign-On não foram afetados pela exposição à senha, embora seus nomes e endereços de e-mail possam ter sido acessados. Ex-alunos, pesquisadores e empregadores que dependem das senhas do CareerConnect foram obrigados a redefinir suas credenciais.
A universidade não divulgou quantos usuários foram afetados.
O GTI informou Oxford sobre o incidente em 28 de maio e disse que uma vulnerabilidade na plataforma havia sido explorada por uma parte não autorizada. Desde então, a empresa resolveu o problema e implementou medidas adicionais de segurança, segundo a universidade.
Oxford afirmou que não há evidências de que informações do curso, arquivos carregados, registros de agendamento ou informações financeiras tenham sido comprometidos na violação. A universidade também afirmou que não há indicação de que os sistemas internos de Oxford tenham sido acessados.
Segundo a GTI, a violação parecia focada em coletar credenciais que poderiam ser usadas posteriormente em campanhas de phishing. Como resultado, Oxford alerta os usuários para terem cautela com e-mails e mensagens inesperados que pareçam vir da universidade, GTI ou CareerConnect.
A universidade orientou os usuários a verificarem de forma independente os pedidos de informações pessoais ou financeiras e os lembrou de que Oxford nunca pedirá senhas por e-mail ou plataformas de mensagens.
Oxford afirmou que a plataforma CareerConnect foi protegida e continua segura para uso. A universidade acrescentou que os usuários afetados serão contatados diretamente caso seja necessária qualquer ação adicional.