Harvard Universität – Sicherheitslücke im MIT Data Center

Bereits vor über einem Jahr habe ich die Harvard University in Cambridge über höchst kritische Sicherheitslücken auf deren Internetpräsenzen informiert. Die Website des „Institute of Politics“ war durch ungefilterte Parameter von einer Schwachstelle betroffen, die einem Angreifer das Einschleusen von Schadcode und externen Dateien erlaubte. Ich habe die Problematik anhand eines Videos, zusammen mit „Nyan Cat“ demonstriert. Man kann sich das Video hier ansehen. Auch das „MIT Data Center“ der Harvard Universität war zum damaligen Zeitpunkt bereits von einer kritischen Sicherheitslücke betroffen. Hier kann man sich den damaligen Beitrag durchlesen: Harvard Universität – Keine Reaktion auf Hinweise

Im vergangenen Jahr habe ich hin und wieder einen Blick in die Portale geworfen, um eine mögliche Veränderung der Problematik feststellen zu können. Man hat leider auf meine Hinweise nicht geantwortet und es zunächst scheinbar nicht für nötig empfunden, die Problematik zu beseitigen. Jetzt – über ein Jahr nach meinen Hinweisen – hat man eine der Schwachstellen im Internetportal der Harvard University – womöglich durch einen Relaunch des Portals und Änderungen an den Funktionen – beseitigt. Leider hat sich aber an der Sicherheitsproblematik beim MIT Data Center nichts verändert. Durch eine SQL Injection Schwachstelle ist es weiterhin möglich, dass Angreifer sensibele Informationen, die Kontrolle über Datenbanken oder gar das gesamte System erlangen. Ob das Datencenter bereits Opfer von Angriffen wurde ist leider nicht bekannt. Von der Harvard University fehlt bisher jegliche Kommunikation.