Oxfordov drugi proboj podataka u 2025.: pogođena platforma za karijerne usluge

Oxfordov drugi proboj podataka u 2025.: pogođena platforma za karijerne usluge

Sveučilište Oxford objavilo je svoj drugi događaj izlaganja vjerodajnica zbog povrede podataka u 2025., nakon što su napadači ugrozili platformu za karijerne usluge treće strane koju koristi institucija i druga britanska sveučilišta. Proboj je razotkrio korisničke vjerodajnice, izazivajući ozbiljnu zabrinutost zbog toga kako vanjski dobavljači stvaraju sigurnosne slijepe točke koje čak i prestižne institucije teško kontroliraju.

Činjenica da je ovo druga objava Oxforda o proboju u samo nekoliko mjeseci ukazuje na širi obrazac: sveučilišta su vrijedne mete, a putevi kojima napadači pristupaju sve više vode kroz dobavljače kojima institucije vjeruju za isporuku osnovnih usluga studentima i osoblju.

Što se dogodilo: objašnjenje proboja na Oxfordovoj platformi za karijerne usluge

Napad nije bio usmjeren izravno na glavnu IT infrastrukturu Oxforda. Umjesto toga, akteri prijetnje ugrozili su platformu za karijerne usluge treće strane, vrstu usluge koja povezuje studente s poslodavcima, oglasima za stažiranje i resursima za profesionalni razvoj. Budući da je platforma dijeljena među više britanskih sveučilišta, radijus utjecaja proširio se i izvan samog Oxforda.

Što je razotkriveno? Korisničke vjerodajnice, odnosno korisnička imena i lozinke koje su studenti i osoblje koristili za prijavu na platformu. Nakon što vjerodajnice budu ukradene, napadači ih mogu pokušati primijeniti na drugim uslugama, osobito tamo gdje su korisnici ponovno upotrijebili lozinke. Ova tehnika, poznata kao credential stuffing, jedna je od najčešćih prijetnji nakon kompromitacije bilo kojih prijavnih podataka.

Ovo je drugi put da Oxford mora obavijestiti korisnike o proboju u 2025., što naglašava da nijedna institucija, bez obzira na akademski ugled, nije imuna na kaskadne rizike ovisnosti o softveru treće strane.

Zašto su vanjski dobavljači najslabija karika u sveučilišnoj sigurnosti

Sveučilišta se oslanjaju na raznolik ekosustav vanjskih platformi: sustavi za upravljanje učenjem, portali za karijere, knjižnične baze podataka, procesori plaćanja i aplikacije za studentsku dobrobit. Svaki od ovih dobavljača predstavlja potencijalnu ulaznu točku za napadače, a sveučilišta rijetko imaju potpun uvid u to kako njihovi partneri štite podatke.

Riječ je o strukturnom problemu, a ne samo o tehničkom. Sveučilište može ulagati znatna sredstva u vlastitu mrežnu obranu, dok dobavljač koji obrađuje osjetljive prijavne podatke djeluje sa slabijim sigurnosnim kontrolama. Rezultat je lanac koji puca na najslabijoj karici.

Ovaj obrazac dosljedno se pojavljuje u svim sektorima. Proboj naplatnih usluga koji je pogodio njemačke sveučilišne bolnice pokazao je kako tvrtke treće strane koje obrađuju podatke u ime institucija mogu izložiti desetke tisuća zapisa, a da primarna institucija nema izravnu kontrolu nad incidentom. Slično tome, proboj francuskog pružatelja zdravstvenog softvera izložio je 15,8 milijuna medicinskih zapisa preko dobavljača kojemu je vjerovalo ministarstvo zdravstva te zemlje. Slučaj Oxforda slijedi istu strukturnu logiku: institucija je odgovorna pogođenim korisnicima, ali je ranjivost nastala izvan njezinih zidova.

Za sveučilišta posebno, izazov je dodatno složen zbog volumena i fluktuacije korisnika. Tisuće novih studenata upisuju se svake godine, stvaraju račune na desecima platformi i rijetko primaju dosljedne smjernice o sigurnim praksama rukovanja vjerodajnicama.

Kako neosigurani Wi-Fi na kampusu povećava rizik od krađe vjerodajnica

Postoji dimenzija izloženosti sveučilišnih vjerodajnica koja često ostaje neispitana: mrežno okruženje u kojem studenti pristupaju tim platformama. Wi-Fi mreže na kampusu i javne pristupne točke u blizini sveučilišnih zgrada često su otvorene ili minimalno osigurane. Kada se studenti prijavljuju na portale za karijere, sustave za upravljanje učenjem ili institucionalnu e-poštu putem tih veza, njihove vjerodajnice mogu biti presretnute ako mrežu nadzire zlonamjeran akter.

Ovo nije hipotetski rizik. Akademska okruženja prepuna su tehnički sposobnih pojedinaca, a otvorene mreže stvaraju izravne prilike za prikupljanje vjerodajnica putem tehnika poput napada čovjeka u sredini.

Rizik je posebno relevantan nakon događaja proboja. Ako su vjerodajnice već bile izložene, napadači koji ih pribave mogu ispipavati povezane institucionalne račune, a korisnici koji se prijavljuju putem neosiguranih mreža tijekom razdoblja nakon proboja posebno su ranjivi na hvatanje dodatnih podataka sesije.

Ova dinamika odigrala se u visokoprofiliranom akademskom kontekstu kada su ShinyHuntersi ciljali Canvas platformu Sveučilišta Pennsylvania, izlažući riziku preko 300.000 korisnika. Akademske platforme nisu usputne mete; aktivno se napadaju jer sadrže bogate podatke o velikim populacijama korisnika koji često ponovno koriste vjerodajnice.

Što bi studenti i osoblje sada trebali učiniti kako bi zaštitili svoje račune

Ako ste student ili član osoblja Oxforda ili bilo kojeg drugog britanskog sveučilišta koje je koristilo pogođenu platformu za karijerne usluge, postoje specifični koraci koje biste trebali odmah poduzeti.

Odmah promijenite lozinku na pogođenoj platformi. Ne čekajte službeni poticaj ako ste već obaviješteni o proboju. Promijenite je sada.

Provjerite ponovno korištenje lozinki. Ako ste istu lozinku koristili za sveučilišnu e-poštu, institucionalnu prijavu ili bilo koju drugu uslugu, promijenite i te lozinke. Napadi credential stuffing uspijevaju upravo zato što ljudi ponovno koriste lozinke na više platformi.

Omogućite višefaktorsku autentifikaciju gdje god je to moguće. Čak i ako su vaše vjerodajnice ukradene, MFA stvara drugu prepreku koja sprječava napadače da se jednostavno prijave s ukradenom kombinacijom korisničkog imena i lozinke.

Koristite VPN na kampusu i javnim mrežama. Virtualna privatna mreža šifrira vaš internetski promet, sprječavajući presretanje vjerodajnica i podataka sesije na otvorenim ili loše osiguranim Wi-Fi mrežama. To je osobito važno kada pristupate institucionalnim platformama iz kafića, knjižnica, dijeljenih studentskih smještaja ili mreža kampusa koje nisu u potpunosti osigurane.

Pratite svoje račune zbog neobičnih aktivnosti. Nakon svakog izlaganja vjerodajnica, obratite pažnju na neočekivane obavijesti o prijavi, e-poruke za resetiranje lozinke koje niste zatražili ili nepoznate aktivnosti na računima povezanima s vašom sveučilišnom adresom e-pošte.

Drugi proboj podataka na Oxfordu u 2025. podsjetnik je da izlaganje sveučilišnih vjerodajnica nije izolirani događaj. Riječ je o ponavljajućem riziku uzrokovanom strukturnom ovisnošću o dobavljačima treće strane i dodatno pogoršanom otvorenim mrežnim okruženjima koje studenti svakodnevno koriste. Preuzimanje kontrole nad svojim vjerodajnicama i mrežnom sigurnošću najizravniji je odgovor koji je sada dostupan pogođenim korisnicima.