學校求職網站第三方平臺漏洞遭駭，導致牛津大學學生個資外洩

牛津大學的CareerConnect是牛津大學生涯服務部門的一部份，主要提供在校學生、畢業學生求職，使用者包括學生、校友、研究人員及僱用單位。

事件起於GTI平臺的漏洞遭到駭客濫用。該公司表示已修補漏洞且強化了安全措施。至於校友、研究人員及僱用單位的密碼已經被GTI重置，將要求用戶下次登入前重設密碼。

CareerConnect平臺的攻擊者身分尚未被辨識或公開。目前沒有課程資訊、已上傳檔案、預約時間、財務資訊隨這次事件外洩的證據。GTI告知，這次事件疑似目標在蒐集用戶憑證，可能導致未來的釣魚攻擊。校方也提醒學生留意陌生信件或訊息，避免遭釣魚攻擊。

The Register分析，CareerConnect其實等同GTI以TargetConnect品牌銷售的平臺，這意味著可能有其他用戶受漏洞濫用影響。

牛津大學對媒體表示，這次事件和5月份Canvas資料外洩為不同事件。上個月該校曾公告暫停關閉Canvas系統存取。其他學校甚至被迫延後期末考及報告交付時間。

5月份勒索軟體駭客宣稱從Instructure平臺供應商竊得2.75億筆資料，資料總量達3.65TB，涉及將近9000個學校的師生、教職員的姓名、電子郵件、學生ID等個資。Instructure隔週表示已與駭客達成協議，以贖回客戶資料。