O que aconteceu
A Universidade de Oxford, uma das instituições de ensino mais prestigiosas do mundo, sofreu um vazamento de dados após a invasão da plataforma de carreiras CareerConnect, operada pelo provedor terceirizado Group GTI. O ataque, detectado em 28 de maio de 2026, expôs nomes completos e endereços de e-mail de estudantes. Trata-se do segundo incidente do tipo em menos de um mês — anteriormente, a plataforma de ensino virtual Canvas também havia sido comprometida por meio de invasão ao seu fornecedor, a Instructure.
Como ocorreu a invasão
O CareerConnect é a plataforma oficial de serviços de carreira da Universidade de Oxford, onde estudantes acessam vagas de emprego, perfis de empregadores e oportunidades de networking. A infraestrutura tecnológica é de responsabilidade da Group GTI, empresa terceira que desenvolve e mantém o sistema sob a tecnologia TargetConnect.
Segundo comunicado enviado pela universidade aos estudantes na sexta-feira à tarde, a Group GTI informou que um invasor não autorizado acessou a plataforma e obteve acesso a nomes, sobrenomes e endereços de e-mail dos usuários. A universidade enfatizou que senhas e outros dados pessoais não foram comprometidos.
O caso guarda semelhança com o incidente anterior envolvendo o Canvas: em ambos, o ponto de entrada não foi a infraestrutura da própria universidade, mas sim a de fornecedores terceiros que processam dados sensíveis de estudantes.
| Incidente | Plataforma | Fornecedor | Dados expostos | Data |
|---|---|---|---|---|
| 1º vazamento | Canvas (VLE) | Instructure | Nomes, e-mails, mensagens | Maio 2026 |
| 2º vazamento | CareerConnect | Group GTI | Nomes e e-mails | 28/05/2026 |
Riscos para os afetados
Embora a universidade afirme não haver evidências de uso indevido dos dados, a exposição de nomes e e-mails institucionais permite ataques de phishing direcionados. Estudantes universitários são alvos recorrentes de campanhas de engenharia social que exploram o contexto acadêmico para extrair credenciais ou informações financeiras.
A universidade recomendou que os afetados permaneçam vigilantes quanto a e-mails inesperados, evitem clicar em links suspeitos e não forneçam dados pessoais sem verificar a autenticidade da comunicação. A plataforma CareerConnect já foi reestabelecida e considerada segura para uso.
O que fazer agora
Estudantes que utilizaram o CareerConnect devem monitorar suas caixas de entrada institucionais para mensagens não solicitadas, especialmente aquelas que solicitem cliques em links ou preenchimento de formulários. Ativar autenticação em dois fatores no e-mail universitário reduz o risco de comprometimento da conta. Caso recebam mensagens que pareçam vir da universidade ou da Group GTI solicitando dados, devem verificar diretamente com o suporte de TI antes de responder. A universidade prometeu atualizações conforme novas informações forem disponibilizadas pela GTI.
Fontes
- Cherwell — Oxford hit by second major data breach
- Cybernews — Oxford University careers platform breach
- BleepingComputer — Oxford University data breach