Oxford otkrio sigurnosni incident nakon kompromitacije platforme CareerConnect

Sveučilište Oxford priopćilo je da je prošloga tjedna otkriven sigurnosni incident nakon što ga je treća strana, Group GTI, obavijestila da je platforma CareerConnect za karijerne usluge kompromitirana. Riječ je o sustavu koji koriste i druge britanske obrazovne organizacije, među njima King’s College London i Sveučilište u Manchesteru, za svoje institucijske karijerne hubove.

Oxford navodi da je platforma CareerConnect kompromitirana 28. svibnja te da su napadači došli do imena, prezimena, e-adresa i šifriranih zaporki korisnika koji se ne prijavljuju putem Single Sign-On sustava. Sveučilište je priopćilo da su lokalno postavljene zaporke za alumnije, istraživačko osoblje i poslodavce poništene te će korisnici morati postaviti novu zaporku pri sljedećoj prijavi.

U priopćenju stoji da nema dokaza da su bili obuhvaćeni podaci o kolegijima, učitane datoteke, informacije o terminima ili financijski podaci. GTI je navodno ocijenio da je napad bio usmjeren na prikupljanje vjerodajnica, što bi moglo dovesti do pokušaja krađe podataka putem phishinga. Sveučilište također navodi da incident zahvaća samo GTI-jev sustav treće strane te da nema dokaza da su napadači kompromitirali sustave Sveučilišta Oxford.

GTI i sveučilište dodatno navode da nema dokaza da su pristupili zaporkama studenata ili financijskim informacijama. Ipak, staff, studenti i vanjski korisnici CareerConnecta upozoreni su da bi mogli postati meta phishing ili prijevarnih poruka. Oxford je ove godine već prijavio još jedan sigurnosni incident, nakon proboja u Instructureov Canvas LMS, koji sveučilište koristi.

U tom ranijem slučaju napadači su tvrdili da su ukrali 280 milijuna zapisa povezanih sa studentima i osobljem iz 8.809 koledža, školskih distrikata i internetskih obrazovnih platformi diljem svijeta. Instructure je potom postigao dogovor s tom skupinom, uz tvrdnju da su napadači vratili ukradene podatke i dostavili logove uništavanja. Oxford je potvrdio da je bio među žrtvama, ali i da njegovi sustavi nisu bili kompromitirani, dok su izloženi podaci bili ograničeni na korisnička imena, e-adrese za Canvas, poruke razmijenjene na platformi, nazive kolegija i informacije o upisu na kolegije.