L’Université d’Oxford a annoncé une nouvelle fuite de données la semaine dernière. Elle a été informée par son prestataire externe, Group GTI, que sa plateforme de services carrière CareerConnect avait été piratée.
Cette plateforme est également utilisée par d’autres établissements d’enseignement britanniques, comme le King’s College de Londres et l’Université de Manchester, pour gérer leurs propres centres carrière.
Fondée en 1096, l’université d’Oxford est la plus ancienne du monde anglophone. Elle rassemble 43 collèges autonomes, plus de 26 000 étudiants et près de 6 000 personnels de recherche, d’enseignement et de soutien.
L’université a précisé que l’intrusion sur la plateforme CareerConnect a eu lieu le 28 mai. Les attaquants ont obtenu l’accès aux prénoms, noms de famille, adresses e-mail et mots de passe chiffrés des utilisateurs. Cette information concerne les utilisateurs qui ne se connectent pas via le système d’authentification unique Single Sign-On.
L’université a déclaré : « Les anciens élèves, le personnel de recherche et les employeurs accèdent à CareerConnect avec un mot de passe défini localement. Ces mots de passe ont été invalidés par GTI et les utilisateurs devront en créer un nouveau lors de leur prochaine connexion. »
L’enquête n’a révélé aucune preuve que les informations sur les cours, les fichiers téléchargés, les rendez-vous ou les données financières aient été touchées. GTI a indiqué que cette attaque visait principalement à récolter des identifiants, ce qui pourrait conduire à des tentatives de hameçonnage.
L’incident a uniquement affecté le système externe de GTI. Aucune preuve ne démontre que les systèmes internes de l’université aient été compromis. GTI et l’université n’ont pas non plus trouvé de trace d’accès aux mots de passe des étudiants ou à leurs informations financières.
L’institution a toutefois mis en garde son personnel, ses étudiants et les utilisateurs externes de CareerConnect contre des risques accrus de courriels frauduleux ou de hameçonnage.
Il s’agit de la deuxième fuite de données subie par l’Université d’Oxford cette année. Début mai, le groupe d’extorsion ShinyHunters avait pénétré le système de gestion de l’apprentissage Canvas, édité par Instructure, que l’université utilise.
Après cette attaque, les pirates avaient affirmé avoir volé 280 millions d’enregistrements liés à des étudiants et du personnel dans 8 809 établissements scolaires et plateformes d’éducation en ligne dans le monde. Instructure avait conclu un accord avec le groupe cybercriminel. Les hackers avaient rendu les données volées et fourni des journaux confirmant leur destruction.
Oxford avait confirmé faire partie des victimes. Ses systèmes n’avaient pas été compromis et les données exposées se limitaient à des noms d’utilisateur, des adresses e-mail Canvas, des messages échangés sur la plateforme, des noms de cours et des informations d’inscription.
Un porte-parole de l’Université d’Oxford n’était pas immédiatement disponible pour commenter la fuite de données sur CareerConnect.