Angreb på universiteter udnytter hul i Orsee

Artiklen blev oprindeligt publiceret den 13/2/2015

En hacker har lækket fortrolige oplysninger fra en række udenlandske universiteter. Angrebet ser ud til at udnytte en sårbarhed i programmet Orsee.

Orsee, Online Recruitment System for Economic Experiments, er et webprogram til styring af deltagere i økonomiske eksperimenter. En hacker der kalder sig Abdilo har lækket data om 5.000 studerende på University of Sydney.

I en besked på Pastebin skriver hackeren, at der er en SQL-indsætningssårbarhed i Orsee. Det vil sige, at uvedkommende kan indtaste databasekommandoer via en webside og få dem afviklet.

Han har også udnyttet andre SQL-indsætningssårbarheder til at hacke sig ind på universiteter.

Anbefaling
Tjek web-applikationer for sårbarheder, der tillader indsætning af SQL-kommandoer.

Links

• Update: U. of Sydney hack was by Abdilo; Dozens of others attacked, too, blogindlæg fra Office of Inadequate Security