Die University of Nottingham beschrieb den Vorfall in einer Stellungnahme an BleepingComputer als Cyberangriff auf ihr System für Studierendendaten. Eine „bekannte cyberkriminelle Gruppe“ habe auf einen erheblichen Datenbestand zugegriffen, teilte die Hochschule mit. An der forensischen Untersuchung arbeite man zusammen mit dem externen Betreiber der Plattform.

Welche Daten genau abgeflossen sind, hat die Universität selbst nicht im Detail aufgelistet. ShinyHunters behauptet jedoch, mehr als 40 Gigabyte an Dokumenten von der University of Nottingham sowie deren Standorten in Malaysia und China entwendet zu haben. Nach Darstellung der Gruppe umfassen die Daten Informationen zu Studienfinanzierung, Rechnungs- und Zahlungsdaten, Kreditkarten- und Zahlungsdetails sowie Exporte aus dem Campus-Portal. Hinzu kämen vollständige Namen, Wohnadressen, IP-Adressen, Telefonnummern und Geburtsdaten der Betroffenen.

Der Dienst Have I Been Pwned erklärte am Mittwoch nach Analyse der veröffentlichten Daten, dass 454.600 ehemalige und aktuelle Studierende von dem Vorfall betroffen seien. Demnach enthalten die Datensätze E-Mail-Adressen sowie weitreichende personenbezogene Angaben, darunter Namen, Adressen, Telefonnummern, ethnische Zugehörigkeiten, Behinderungen, Passnummern und Informationen zu Immatrikulationen und Gebührenzahlungen.

Eine formelle Zuschreibung des Angriffs an ShinyHunters gibt es von der Universität bisher nicht. Die Gruppe hatte jedoch bereits am Dienstag die Verantwortung übernommen und ein Archiv mit angeblich gestohlenen Dokumenten veröffentlicht. Nottingham meldete den Vorfall nach eigenen Angaben an Action Fraud und an das britische Information Commissioner’s Office.

Nach Informationen von BleepingComputer ist der Fall Teil einer größeren Datendiebstahl-Kampagne. Dabei soll ShinyHunters Daten von mehr als 100 Organisationen weltweit entwendet haben, nachdem die Angreifer Cloud- und lokale Oracle-PeopleSoft-Instanzen kompromittiert hatten. PeopleSoft ist eine Unternehmenssoftware für groß angelegte Verwaltungsaufgaben wie Personalwesen, Finanzen, Gehaltsabrechnung, Lieferketten, Beschaffung und Campus-Administration.

ShinyHunters sagte BleepingComputer, bei den Angriffen komme eine „Kette von Hilfskomponenten“ aus Zero-Day-Lücken und älteren Schwachstellen zum Einsatz. Die Methode funktioniere nicht auf allen Systemen; ob eine erfolgreiche Ausnutzung möglich sei, hänge wahrscheinlich von der Konfiguration der jeweiligen Instanz ab. BleepingComputer bat Oracle um eine Stellungnahme dazu, ob dem Unternehmen ein aktiv ausgenutzter PeopleSoft-Zero-Day bekannt ist, erhielt bislang aber keine Antwort.

Die University of Nottingham ist die zweite britische Universität, die in jüngster Zeit einen Datenvorfall offengelegt hat. Die University of Oxford hatte in der vergangenen Woche mitgeteilt, dass ihre Karriereplattform CareerConnect kompromittiert worden war. Zudem meldete Oxford Anfang Mai einen zweiten Datenvorfall nach dem von ShinyHunters beanspruchten Angriff auf das Lernmanagementsystem Canvas von Instructure.