牛津大学2025年第二次数据泄露：职业服务平台遭攻击

牛津大学2025年第二次数据泄露：职业服务平台遭攻击

牛津大学披露了2025年第二次大学数据泄露凭证暴露事件，此前攻击者入侵了该校及其他英国大学使用的一个第三方职业服务平台。此次泄露暴露了用户凭证，引发了对于外部供应商如何制造安全盲区、甚至连知名学府都难以控制的严重担忧。

这已是牛津大学在短短数月内第二次披露数据泄露事件，表明了一个更广泛的模式：大学是高价值目标，而攻击者利用的途径越来越多地贯穿于各机构为师生提供基本服务所依赖的供应商。

事件解析：牛津大学职业服务平台数据泄露

此次攻击并未直接针对牛津大学的核心IT基础设施。相反，威胁行为者入侵了一个第三方职业服务平台，这类服务将学生与雇主、实习信息及职业发展资源相连接。由于该平台由多所英国大学共用，波及范围远远超出了牛津本身。

什么信息被暴露了？用户凭证，即学生和员工用于登录该平台的用户名和密码。凭证一旦被盗，攻击者便可尝试将其用于其他服务，尤其是当用户重复使用密码时。这种称为凭证填充的技术，是登录数据泄露后最常见的后续威胁之一。

这是2025年牛津大学第二次不得不向用户通报数据泄露事件，凸显出无论学术声誉多高，任何机构都无法免受第三方软件依赖所带来的连锁风险。

为何第三方供应商是大学安全的薄弱环节

大学依赖一个庞大而繁杂的外部平台生态系统：学习管理系统、职业门户网站、图书馆数据库、支付处理系统以及学生健康应用等。这些供应商中的每一个都可能成为攻击者的潜在入口，而大学却很少能完全掌握其合作伙伴是如何保护数据的。

这是一个结构性问题，而不仅仅是技术性问题。大学可以在自身网络防御上投入巨资，但处理敏感登录数据的供应商却可能采用较弱的安全管控。结果就是链条在最脆弱的环节断裂。

这种模式在各行业中反复出现。德国大学医院的一起账单服务数据泄露事件表明，代表机构处理数据的第三方公司可以暴露数万条记录，而主要机构对事件毫无直接控制权。类似地，法国一家医疗软件供应商的数据泄露事件通过该国卫生部信赖的厂商泄露了1580万份病历。牛津大学的案例遵循同样的结构性逻辑：机构要对受影响用户负责，但漏洞却源自其外部。

对于大学而言，挑战因用户数量和流动性而加剧。每年有数千名新生入学，在数十个平台上创建账户，却很少得到关于安全凭证实践的一致指导。

不安全的校园Wi-Fi如何放大凭证窃取风险

大学凭证暴露问题中有一个常被忽视的维度：学生访问这些平台时的网络环境。校园Wi-Fi网络及大学建筑附近的公共热点往往是开放或最低限度加密的。当学生通过这些连接登录职业门户网站、学习管理系统或机构邮箱时，如果有恶意行为者监控网络，他们的凭证就可能被截获。

这并非假设性的风险。学术环境中技术能力强的个体密度很大，而开放网络为通过中间人攻击等手段收集凭证创造了简单直接的机会。

在数据泄露事件发生后，这种风险尤为突出。如果凭证已经暴露，获取凭证的攻击者可能会试探相关机构账户，而在泄露后期间通过不安全网络登录的用户尤其容易被捕获额外的会话数据。

这种动态在一场备受瞩目的学术安全事件中得到了体现，当时ShinyHunters攻击了宾夕法尼亚大学的Canvas平台，致使超过30万用户处于风险之中。学术平台并非次要目标；攻击者积极追逐它们，因为这些平台承载着庞大且常重复使用凭证的用户群体的丰富数据。

学生和员工现在应如何保护账户

如果您是牛津大学或任何使用受影响职业服务平台的其他英国大学的学生或员工，应立即采取以下具体措施。

立即更改受影响平台上的密码。 如果您已收到泄露通知，不要等待官方提示。马上去更改密码。

检查密码是否重复使用。 如果您在大学邮箱、机构登录或其他任何服务中使用了相同的密码，也请一并更改那些密码。凭证填充攻击之所以能成功，正是因为人们在多个平台重复使用密码。

尽可能启用多因素认证。 即使您的凭证被盗，多因素认证也会形成第二道屏障，防止攻击者仅凭窃取的用户名和密码组合登录。

在校园和公共网络使用VPN。 虚拟专用网络会对您的互联网流量进行加密，防止凭证和会话数据在开放或安全性较差的Wi-Fi上被截获。当您在咖啡馆、图书馆、合租学生公寓或安全性不足的校园网络访问机构平台时，这一点尤为重要。

监控账户异常活动。 凭证遭泄露后，请留意非预期的登录通知、未请求的密码重置邮件，或与您的大学邮箱关联的账户中出现的陌生活动。

牛津大学2025年的第二次数据泄露事件提醒我们，大学数据泄露凭证暴露并非孤立事件。这是一种因对第三方供应商的结构性依赖而产生的反复出现风险，又因学生日常所处的开放网络环境而加剧。掌控自己的凭证和网络安全，是受影响用户当下最直接的应对之道。