Vụ vi phạm dữ liệu thứ hai của Oxford năm 2025: Nền tảng Dịch vụ Hướng nghiệp bị tấn công
Đại học Oxford đã công bố sự kiện lộ thông tin xác thực do vi phạm dữ liệu đại học lần thứ hai trong năm 2025, sau khi kẻ tấn công xâm nhập một nền tảng dịch vụ hướng nghiệp bên thứ ba được sử dụng bởi trường và các trường đại học khác tại Vương quốc Anh. Vụ vi phạm đã làm lộ thông tin xác thực của người dùng, dấy lên những lo ngại nghiêm trọng về cách các nhà cung cấp bên ngoài tạo ra các điểm mù an ninh mà ngay cả những tổ chức danh tiếng cũng khó có thể kiểm soát.
Việc đây là lần thứ hai Oxford phải công bố một vụ vi phạm chỉ trong vài tháng cho thấy một xu hướng rộng hơn: các trường đại học là mục tiêu có giá trị cao, và các lối vào mà kẻ tấn công sử dụng ngày càng thường xuyên chạy qua chính các nhà cung cấp mà các tổ chức tin tưởng để cung cấp dịch vụ thiết yếu cho sinh viên và nhân viên.
Diễn biến: Giải thích về vụ vi phạm Nền tảng Dịch vụ Hướng nghiệp của Oxford
Cuộc tấn công không nhắm trực tiếp vào hạ tầng CNTT cốt lõi của Oxford. Thay vào đó, các tác nhân đe dọa đã xâm nhập một nền tảng dịch vụ hướng nghiệp của bên thứ ba, loại hình dịch vụ kết nối sinh viên với nhà tuyển dụng, danh sách thực tập và các nguồn lực phát triển nghề nghiệp. Vì nền tảng này được nhiều trường đại học ở Vương quốc Anh cùng sử dụng, phạm vi ảnh hưởng đã lan rộng ra ngoài Oxford.
Những gì đã bị lộ? Thông tin xác thực người dùng, tức là tên đăng nhập và mật khẩu mà sinh viên và nhân viên đã dùng để đăng nhập vào nền tảng. Một khi thông tin xác thực bị đánh cắp, kẻ tấn công có thể tìm cách sử dụng chúng trên các dịch vụ khác, đặc biệt là những nơi người dùng tái sử dụng mật khẩu. Kỹ thuật này, được gọi là tấn công dồn thông tin xác thực (credential stuffing), là một trong những mối đe dọa tiếp diễn phổ biến nhất sau khi bất kỳ dữ liệu đăng nhập nào bị xâm phạm.
Đây là lần thứ hai Oxford phải thông báo cho người dùng về một vụ vi phạm trong năm 2025, nhấn mạnh rằng không tổ chức nào, bất kể danh tiếng học thuật ra sao, có thể tránh khỏi các rủi ro dây chuyền từ việc phụ thuộc vào phần mềm của bên thứ ba.
Tại sao các nhà cung cấp bên thứ ba lại là mắt xích yếu nhất trong an ninh mạng trường đại học
Các trường đại học phụ thuộc vào một hệ sinh thái rộng lớn các nền tảng bên ngoài: hệ thống quản lý học tập, cổng thông tin hướng nghiệp, cơ sở dữ liệu thư viện, cổng thanh toán và các ứng dụng chăm sóc sức khỏe sinh viên. Mỗi nhà cung cấp này đều là một điểm xâm nhập tiềm năng cho kẻ tấn công, và các trường đại học hiếm khi có được tầm nhìn đầy đủ về cách các đối tác của họ bảo vệ dữ liệu.
Đây là một vấn đề mang tính cấu trúc, chứ không chỉ đơn thuần là vấn đề kỹ thuật. Một trường đại học có thể đầu tư mạnh vào hệ thống phòng thủ mạng của riêng mình, trong khi một nhà cung cấp xử lý dữ liệu đăng nhập nhạy cảm lại hoạt động với các biện pháp kiểm soát an ninh lỏng lẻo hơn. Hậu quả là một chuỗi sẽ đứt ở mắt xích yếu nhất.
Mô hình này xuất hiện nhất quán trên nhiều lĩnh vực. Một vụ vi phạm dịch vụ thanh toán ảnh hưởng đến các bệnh viện đại học Đức đã cho thấy các công ty bên thứ ba xử lý dữ liệu thay mặt cho các tổ chức có thể làm lộ hàng chục nghìn hồ sơ mà tổ chức chính không hề có bất kỳ quyền kiểm soát trực tiếp nào đối với sự cố. Tương tự, một vụ vi phạm nhà cung cấp phần mềm chăm sóc sức khỏe Pháp đã làm lộ 15,8 triệu hồ sơ y tế thông qua một nhà cung cấp được Bộ Y tế nước này tin tưởng. Trường hợp của Oxford cũng có logic cấu trúc tương tự: tổ chức phải chịu trách nhiệm trước những người dùng bị ảnh hưởng, nhưng lỗ hổng lại bắt nguồn từ bên ngoài bức tường của nó.
Đối với các trường đại học nói riêng, thách thức càng trở nên phức tạp bởi số lượng và sự biến động của người dùng. Hàng nghìn sinh viên mới nhập học mỗi năm, tạo tài khoản trên hàng chục nền tảng và hiếm khi nhận được hướng dẫn nhất quán về cách thực hành an toàn với thông tin xác thực.
Wi-Fi khuôn viên trường không an toàn khuếch đại rủi ro đánh cắp thông tin xác thực như thế nào
Có một khía cạnh của việc lộ thông tin xác thực trong trường đại học thường không được xem xét kỹ: môi trường mạng mà sinh viên sử dụng để truy cập các nền tảng này. Các mạng Wi-Fi trong khuôn viên và các điểm phát sóng công cộng gần các tòa nhà đại học thường mở hoặc chỉ được bảo mật ở mức tối thiểu. Khi sinh viên đăng nhập vào các cổng thông tin hướng nghiệp, hệ thống quản lý học tập hay email của trường qua các kết nối này, thông tin xác thực của họ có thể bị chặn lại nếu mạng đang bị một tác nhân độc hại giám sát.
Đây không phải là rủi ro giả định. Môi trường học thuật dày đặc những cá nhân có năng lực kỹ thuật và các mạng mở tạo ra cơ hội rõ ràng cho việc thu thập thông tin xác thực thông qua các kỹ thuật như tấn công kẻ đứng giữa (man-in-the-middle).
Rủi ro này đặc biệt liên quan sau một sự kiện vi phạm. Nếu thông tin xác thực đã bị lộ, những kẻ tấn công có được chúng có thể dò tìm các tài khoản tổ chức liên quan, và người dùng đăng nhập qua các mạng không an toàn trong giai đoạn hậu vi phạm đặc biệt dễ bị đánh cắp thêm dữ liệu phiên làm việc.
Tình huống này đã diễn ra trong một bối cảnh học thuật nổi tiếng khi ShinyHunters nhắm vào nền tảng Canvas của Đại học Pennsylvania, đặt hơn 300.000 người dùng vào tình trạng rủi ro. Các nền tảng học thuật không phải là mục tiêu ngẫu nhiên; chúng bị nhắm đến một cách chủ động vì chúng nắm giữ dữ liệu phong phú về các quần thể người dùng lớn, vốn thường xuyên tái sử dụng thông tin xác thực.
Sinh viên và nhân viên nên làm gì ngay bây giờ để bảo vệ tài khoản của mình
Nếu bạn là sinh viên hoặc nhân viên tại Oxford hoặc bất kỳ trường đại học nào khác ở Vương quốc Anh có sử dụng nền tảng dịch vụ hướng nghiệp bị ảnh hưởng, có những bước cụ thể bạn nên thực hiện ngay lập tức.
Thay đổi mật khẩu trên nền tảng bị ảnh hưởng ngay lập tức. Đừng chờ đợi thông báo chính thức nếu bạn đã được thông báo về vụ vi phạm. Hãy thay đổi mật khẩu ngay bây giờ.
Kiểm tra việc tái sử dụng mật khẩu. Nếu bạn đã dùng cùng một mật khẩu cho email trường, thông tin đăng nhập của tổ chức hoặc bất kỳ dịch vụ nào khác, hãy thay đổi luôn những mật khẩu đó. Các cuộc tấn công dồn thông tin xác thực thành công chính xác là vì mọi người tái sử dụng mật khẩu trên nhiều nền tảng.
Bật xác thực đa yếu tố ở bất cứ đâu có thể. Ngay cả khi thông tin xác thực của bạn bị đánh cắp, MFA cũng tạo ra một rào cản thứ hai ngăn kẻ tấn công chỉ đơn giản đăng nhập bằng tổ hợp tên đăng nhập và mật khẩu bị đánh cắp.
Sử dụng VPN trong khuôn viên trường và trên các mạng công cộng. Mạng riêng ảo mã hóa lưu lượng internet của bạn, ngăn thông tin xác thực và dữ liệu phiên làm việc bị chặn trên Wi-Fi mở hoặc kém an toàn. Điều này đặc biệt quan trọng khi truy cập các nền tảng của tổ chức từ quán cà phê, thư viện, nhà ở sinh viên chung hoặc các mạng trong khuôn viên không được bảo mật hoàn toàn.
Theo dõi các tài khoản của bạn để phát hiện hoạt động bất thường. Sau bất kỳ sự kiện lộ thông tin xác thực nào, hãy chú ý đến các thông báo đăng nhập không mong muốn, email đặt lại mật khẩu mà bạn không yêu cầu hoặc hoạt động lạ trên các tài khoản được liên kết với địa chỉ email của trường đại học.
Vụ vi phạm dữ liệu thứ hai của Oxford trong năm 2025 là một lời nhắc nhở rằng việc lộ thông tin xác thực do vi phạm dữ liệu đại học không phải là một sự kiện cá biệt. Đó là một rủi ro thường trực, bắt nguồn từ sự phụ thuộc cấu trúc vào các nhà cung cấp bên thứ ba và càng trầm trọng hơn bởi các môi trường mạng mở mà sinh viên sinh hoạt hàng ngày. Nắm quyền kiểm soát thông tin xác thực và an ninh mạng của bạn là phản ứng trực tiếp nhất mà người dùng bị ảnh hưởng có thể thực hiện ngay lúc này.
