Hackern ist es offenbar gelungen, in die Server von über 50 Hochschulen einzudringen und Daten von dort zu kopieren. Dabei haben die Hacker Mirrorlinks zu den kompromittierten Daten, unter anderem E-Mail-Adressen, Nutzer-IDs, Passwörter und private Anschriften, über Pastebin.com verfügbar gemacht. Ein Gruppe namens Ghostshell bekannte sich zu der konzertierten Aktion.

Laut eigener Aussage wollen die Hacker mit ihrer Aktion unter dem Namen "Project Westwind" Aufmerksamkeit auf die Missstände im Bildungssystem lenken. So werden etwa überzogene Studiengebühren in den USA und hastige hochschulpolitische Reformen in Europa kritisiert. Betroffen von den Hacks sind anscheinend neben Harvard und Stanford auch Hochschulen aus Moskau, Tokyo und Rom ebenso wie vier deutsche Universitäten: die TU Berlin sowie die Universitäten Heidelberg, Freiburg und Göttingen.

Der Direktor der Freiburger Uni-Rechenzentrums erklärte auf Nachfrage von heise online, dass die Daten auf pastebin nichts seien, was nicht auch per Browser hätte abgefragt werden können: Es sei lediglich eine Liste der Professoren und Mitarbeiter der mathematisch-physikalischen Fakultät, ohne vertrauliche Informationen. Dennoch wurde der betroffene Fakultäts-Server erst einmal außer Betrieb genommen, um ihn zu analysieren und die Logfiles auf Sicherheitslöcher zu prüfen. Bei den drei anderen deutschen Universitäten hat heise online ebenfalls um Stellungnahmen angefragt, die zur Stunde noch ausstehen.

Die Ghostshell-Gruppe gab an, die Zahl der offengelegten Daten auf ein „Minimum“ von ungefähr 120.000 Accounts beschränkt zu haben. Gleichzeitig wies die Gruppe darauf hin, dass zahlreiche der attackierten Uni-Server bereits mit Malware infiziert gewesen seien. Der Security-Dienstleister Identity-Finder analysierte bereits die vermutlich über SQL-Schwachstellen geraubten Daten. Sie seien zumindest als so authentisch einzustufen, dass die betroffenen Hochschulen unbedingt der Sache nachgehen sollten. Firmen-Chef Aaron Titus geht dabei davon aus, dass die Hacker mindestens vier Monate gebraucht haben dürften, um in die ganzen Server einzudringen und die Daten zusammenzutragen. Allerdings seien statt der behaupteten 120.000 kompromittierten Nutzerkonten wohl nur etwa 40.000 feststellbar.

[UPDATE, 4.10.2012, 17:25]

Inzwischen hat die TU Berlin gegenüber heise online einen Hackerangriff über SQL-Injections bestätigt. Es seien aber keine zentralen, vom Rechenzentrum der Uni betriebenen Systeme betroffen gewesen. Beim Ziel habe es sich vielmehr um eine dezentrale Datenbank eines Fachgebiets gehandelt, eine Eigenentwicklung, die für Seminar-Anmeldungen verwendet wurde. Daten von ungefähr 1200 Personen seien durch den Hack kompromittiert worden. Der Server wurde laut TU vom Netz genommen, alle betroffenen Nutzer habe man informiert.

[UPDATE, 4.10.2012, 18:00]

Auch die Universität Heidelberg bestätigte uns Attacken auf ihre Systeme. Betroffen seien drei Web-Server an verschiedenen Instituten, die von den Fachbereichen in eigener Verantwortung betrieben werden. Die zentralen Server der Universität und des Rechenzentrums seien nicht zum Ziel der Hacker geworden. In einem der Fälle konnten die Hacker über eine SQL-Injection eindringen, bei den anderen wird dies auch vermutet. Betroffen seien allerdings weniger als 100 Personen mit deren lokalen Accounts auf diesen Servern. Als Gegenmaßnahme wurden die Passwörter und die Zugriffsrechte für die betroffenen Datenbanken geändert. Ebenfalls werden laut der Uni zur Zeit die PHP-Skripte dahingehend überprüft, ob ähnliche Anfälligkeiten für SQL-Injections gegeben sind wie bei dem Skript, das für den erfolgreichen Angriff vermutlich genutzt wurde.