牛津大学上周收到第三方服务商Group GTI的通知,其运营的CareerConnect求职服务平台遭到入侵。校方随后对外披露了这起数据泄露事件。
CareerConnect并非牛津独有。包括伦敦国王学院、曼彻斯特大学在内的多所英国高校,都使用这个平台搭建各自学校的求职门户。Group GTI作为系统提供方,此次安全事件的影响范围显然不止一所学校。
根据牛津大学公布的细节,攻击发生在5月28日。入侵者获取了用户的名字、姓氏、电子邮件地址,以及未使用单点登录(SSO)方式注册的用户的加密密码。对于校友、研究人员和雇主用户,他们在CareerConnect上单独设置的本地密码已被GTI作废,下次登录时系统会要求重置。
校方在声明中强调,课程信息、上传文件、预约记录、财务数据均未卷入此次事件。GTI方面的判断是,这次攻击主要瞄准凭证收集,目的是为后续的网络钓鱼行动做准备。牛津大学同时确认,被攻破的仅限于GTI的第三方系统,大学自身的系统没有受到牵连,也没有证据表明学生的密码或财务信息被访问过。
但这并不意味着受影响者可以高枕无忧。牛津大学提醒所有CareerConnect用户——包括在校生、教职工和外部用户——警惕可能到来的钓鱼邮件或诈骗信息。
这不是牛津大学今年第一次面临数据泄露问题。就在5月初,ShinyHunters勒索团伙攻破了Instructure公司的Canvas学习管理系统,牛津大学正是该系统的用户之一。黑客当时声称从全球8809所院校、学区和在线教育平台窃取了2.8亿条学生和教职员工相关记录。事后Instructure与这个网络犯罪团伙达成协议,对方归还了被盗数据,并提供了证明数据已被销毁的碎纸日志。牛津大学方面确认自己是受害者之一,但也指出校方系统未被侵入,泄露的数据仅涉及用户名、Canvas邮箱地址、平台用户间的消息往来、课程名称和选课信息。
从Canvas到CareerConnect,两次事件间隔仅一个多月,暴露出高校对第三方服务商安全状况的依赖程度。当BleepingComputer今日早些时候就CareerConnect泄露事件联系牛津大学发言人时,对方未能立即做出回应。
热门跟贴