Oxford sofre segundo vazamento de dados em um mês: plataforma de carreiras expõe dados de alunos e recrutadores

A CareerConnect da Oxford foi comprometida por uma falha na API do Group GTI, fornecedor terceirizado, não por uma brecha nos sistemas internos da universidade. Diferentemente do vazamento no Canvas em 6 de maio, que expôs mensagens entre usuários e dados de matrícula, este ataque focou em credenciais locais: senhas criptografadas foram acessadas apenas para quem não usava SSO, e o alvo declarado foi coleta de e-mails e nomes para campanhas de phishing. A vulnerabilidade foi corrigida pelo GTI, mas o incidente reforça um padrão crítico: universidades britânicas estão sendo atingidas via provedores externos com controles fracos de autorização, como já visto na falha da Schemata (DoD) e no vazamento do portal de vistos do Reino Unido.

O risco real aqui não é só o vazamento de e-mails, mas a normalização do uso de credenciais locais em plataformas acadêmicas integradas. Quando o SSO é ignorado ou não obrigatório, cria-se uma superfície de ataque fragmentada, exatamente o que os invasores exploraram duas vezes em Oxford em 30 dias. Isso não é falha isolada; é sintoma de contratações apressadas de ferramentas sem avaliação rigorosa de segurança por fornecedores, mesmo em instituições com alto nível de maturidade cibernética.

O primeiro vazamento (Canvas, 6 de maio) envolveu dados estruturados de interação pedagógica, mensagens, cursos, matrículas, e foi orquestrado por um grupo de extorsão que exigiu resgate. Já o segundo (CareerConnect, 28 de maio) é operacionalmente distinto: não houve pagamento, não houve ameaça de publicação, e o impacto foi limitado a identificadores básicos e senhas fracas. O que mudou é o vetor: do ataque direto à plataforma de ensino para a exploração silenciosa de uma API mal protegida de um recrutador terceirizado, um salto para alvos mais periféricos, mas igualmente sensíveis.

Universidades não são apenas repositórios de dados pessoais: são hubs de informação estratégica, currículos de pesquisadores, perfis de recrutadores de grandes corporações, redes de ex-alunos em cargos-chave. Um vazamento de e-mails e nomes da CareerConnect não é 'apenas contato': é combustível para spear phishing contra executivos, cientistas e funcionários públicos. E quando isso acontece duas vezes em um mês, mostra que a governança de terceiros, especialmente em serviços de carreira e aprendizagem, ainda opera sem SLAs claros de segurança, auditorias regulares e cláusulas de notificação imediata. Para empresas que contratam via essas plataformas, o risco agora é reputacional e legal: seus dados estão expostos sob contratos que não preveem responsabilização efetiva do fornecedor.