De Universiteit van York is getroffen door een datalek nadat een crimineel toegang wist te krijgen tot de CRM-provider waar het gebruik van maakt. Privégegevens van zowel studenten, alumni als medewerkers zijn buitgemaakt, waaronder naam, geboortedatum, studentennummer, adresgegevens, telefoonnummer, e-mailadres, beoordelingen, baan, naam van werkgever en andere informatie.

De universiteit is klant van cloudsoftwarebedrijf Blackbaud, één van de grootste aanbieders van CRM-systemen (customer relationship management) voor non-profitorganisaties. Blackbaud was in mei het doelwit van een ransomware-aanval. De aanval werd gestopt, maar voordat de aanvaller de ransomware uitrolde wist hij gegevens van een aantal Blackbaud-klanten te stelen, waaronder de Universiteit van York. De universiteit gebruikt het systeem om contacten met onder andere alumni, personeel en studenten bij te houden.

Blackbaud maakte eerder al bekend dat het de crimineel achter de aanval heeft betaald om de data te vernietigen. Het bedrijf denkt niet dat de data buiten de cybercrimineel om is verspreid, is of zal worden misbruikt of op andere wijze openbaar zal worden gemaakt. De universiteit laat aanvullend weten dat de aanvaller garanties heeft gegeven dat de data is vernietigd.