Oxford's tweede datalek van 2025: Platform voor loopbaandiensten getroffen

Oxford's tweede datalek van 2025: Platform voor loopbaandiensten getroffen

De Universiteit van Oxford heeft haar tweede datalek van 2025 met blootstelling van inloggegevens bekendgemaakt, nadat aanvallers een extern platform voor loopbaandiensten hadden gecompromitteerd dat door de instelling en andere Britse universiteiten werd gebruikt. Bij het datalek werden gebruikersreferenties blootgelegd, wat ernstige zorgen oproept over de manier waarop externe leveranciers beveiligingsblinde vlekken creëren die zelfs prestigieuze instellingen moeilijk onder controle kunnen houden.

Dat dit binnen enkele maanden al de tweede datalekmelding van Oxford is, wijst op een breder patroon: universiteiten zijn aantrekkelijke doelwitten en de routes die aanvallers gebruiken lopen steeds vaker via de leveranciers die instellingen vertrouwen om essentiële diensten aan studenten en medewerkers te leveren.

Wat er gebeurde: Het datalek bij het loopbaanplatform van Oxford uitgelegd

De aanval was niet rechtstreeks gericht op de kern-IT-infrastructuur van Oxford. In plaats daarvan compromitteerden de aanvallers een extern platform voor loopbaandiensten – een dienst die studenten in contact brengt met werkgevers, stagelijsten en middelen voor professionele ontwikkeling. Omdat het platform door meerdere Britse universiteiten werd gebruikt, reikte de impact aanzienlijk verder dan alleen Oxford.

Wat is er blootgesteld? Gebruikersreferenties, oftewel de gebruikersnamen en wachtwoorden die studenten en medewerkers gebruikten om in te loggen op het platform. Zodra inloggegevens zijn gestolen, kunnen aanvallers proberen deze op andere diensten te gebruiken, vooral als gebruikers hun wachtwoorden opnieuw hebben gebruikt. Deze techniek, credential stuffing genaamd, is een van de meest voorkomende vervolgdreigingen na een compromittering van inloggegevens.

Dit is de tweede keer in 2025 dat Oxford gebruikers moet informeren over een datalek, wat onderstreept dat geen enkele instelling, ongeacht haar academische reputatie, immuun is voor de trapsgewijze risico's van afhankelijkheid van externe software.

Waarom externe leveranciers de zwakste schakel zijn in de beveiliging van universiteiten

Universiteiten vertrouwen op een uitgebreid ecosysteem van externe platforms: leerbeheersystemen, loopbaanportalen, bibliotheekdatabases, betalingsverwerkers en apps voor studentenwelzijn. Elk van deze leveranciers vormt een potentieel toegangspunt voor aanvallers, en universiteiten hebben zelden volledig inzicht in hoe hun partners gegevens beveiligen.

Dit is een structureel probleem, niet alleen een technisch probleem. Een universiteit kan fors investeren in haar eigen netwerkbeveiliging, terwijl een leverancier die gevoelige inloggegevens verwerkt met zwakkere beveiligingsmaatregelen werkt. Het resultaat is een ketting die breekt op haar zwakste schakel.

Dit patroon duikt consequent op in verschillende sectoren. Een datalek bij factureringsdiensten dat Duitse universitaire ziekenhuizen trof liet zien hoe externe bedrijven die gegevens namens instellingen verwerken, tienduizenden dossiers kunnen blootstellen zonder dat de primaire instelling enige directe controle over het incident heeft. Op vergelijkbare wijze stelde een datalek bij een Franse leverancier van zorgsoftware 15,8 miljoen medische dossiers bloot via een leverancier die door het ministerie van Volksgezondheid werd vertrouwd. De zaak in Oxford volgt dezelfde structurele logica: de instelling is verantwoordelijk tegenover de getroffen gebruikers, maar de kwetsbaarheid ontstond buiten haar muren.

Voor universiteiten wordt de uitdaging nog vergroot door het grote aantal gebruikers en het hoge verloop. Jaarlijks schrijven duizenden nieuwe studenten zich in, maken accounts aan op tientallen platforms en krijgen zelden consequent advies over veilig omgaan met inloggegevens.

Hoe onbeveiligde campus-wifi het risico op diefstal van inloggegevens vergroot

Er is een aspect van de blootstelling van universitaire inloggegevens dat vaak onderbelicht blijft: de netwerkomgeving waarin studenten deze platforms benaderen. Campus-wifinetwerken en openbare hotspots in de buurt van universiteitsgebouwen zijn vaak open of minimaal beveiligd. Wanneer studenten via deze verbindingen inloggen op loopbaanportalen, leerbeheersystemen of institutionele e-mail, kunnen hun inloggegevens worden onderschept als het netwerk door een kwaadwillende wordt gemonitord.

Dit is geen hypothetisch risico. Academische omgevingen zitten vol technisch onderlegde personen, en open netwerken bieden eenvoudige kansen voor het verzamelen van inloggegevens via technieken zoals man-in-the-middle-aanvallen.

Het risico is vooral relevant na een datalekgebeurtenis. Als inloggegevens al zijn blootgesteld, kunnen aanvallers die deze bemachtigen bijbehorende institutionele accounts onderzoeken, en gebruikers die na het lek inloggen via onbeveiligde netwerken zijn bijzonder kwetsbaar voor het onderscheppen van aanvullende sessiegegevens.

Deze dynamiek speelde zich af in een spraakmakende academische context toen ShinyHunters het Canvas-platform van de University of Pennsylvania aanvielen, waarmee meer dan 300.000 gebruikers risico liepen. Academische platforms zijn geen toevallige doelwitten; ze worden actief nagestreefd omdat ze rijke gegevens bevatten over grote gebruikersgroepen die vaak hun inloggegevens hergebruiken.

Wat studenten en medewerkers nu moeten doen om hun accounts te beschermen

Als je student of medewerker bent aan Oxford of een andere Britse universiteit die het getroffen loopbaanplatform gebruikte, zijn er specifieke stappen die je onmiddellijk moet nemen.

Wijzig je wachtwoord op het getroffen platform meteen. Wacht niet op een officieel verzoek als je al op de hoogte bent gebracht van het datalek. Wijzig het nu.

Controleer op hergebruik van wachtwoorden. Als je hetzelfde wachtwoord gebruikte voor je universiteitsmail, institutionele login of een andere dienst, wijzig die wachtwoorden dan ook. Credential stuffing-aanvallen slagen juist doordat mensen wachtwoorden op meerdere platforms hergebruiken.

Schakel waar mogelijk multi-factorauthenticatie in. Zelfs als je inloggegevens worden gestolen, vormt MFA een tweede barrière die voorkomt dat aanvallers simpelweg kunnen inloggen met een gestolen combinatie van gebruikersnaam en wachtwoord.

Gebruik een VPN op de campus en openbare netwerken. Een virtueel particulier netwerk versleutelt je internetverkeer, waardoor inloggegevens en sessiedata niet kunnen worden onderschept op open of slecht beveiligde wifi. Dit is vooral belangrijk wanneer je institutionele platforms benadert vanuit cafés, bibliotheken, gedeelde studentenhuizen of campusnetwerken die niet volledig beveiligd zijn.

Controleer je accounts op ongebruikelijke activiteit. Na blootstelling van inloggegevens: let op onverwachte inlogmeldingen, e-mails voor het opnieuw instellen van wachtwoorden die je niet hebt aangevraagd, of onbekende activiteit op accounts die aan je universitaire e-mailadres zijn gekoppeld.

Het tweede datalek van Oxford in 2025 herinnert ons eraan dat de blootstelling van inloggegevens bij universitaire datalekken geen op zichzelf staande gebeurtenis is. Het is een terugkerend risico, gevoed door structurele afhankelijkheden van externe leveranciers en verergerd door de open netwerkomgevingen waarin studenten zich dagelijks bevinden. Zelf de controle nemen over je inloggegevens en netwerkbeveiliging is op dit moment de meest directe reactie die getroffen gebruikers tot hun beschikking hebben.