وزارت آموزش آمریکا از نفوذ هکرها به ده ها سایت دانشگاهی و کالج این کشور برای انجام فعالیت های مجرمانه خبر داده است.
هک سایت دانشگاه ها با سوء استفاده از یک آسیب پذیری امنیتی در برنامه تحت وب مدیریت منابع سازمانی (ERP) این سازمان ها انجام شده است. این آسیب پذیری در سرویسی بود که به دانشگاه ها اجازه می داد صفحه اصلی برنامه های تحت وب خود را شخصی سازی کنند. علاوه بر این با سرویس مورد استفاده برای مدیریت حساب های کاربری نیز ارتباط داشت. 1400 کالج، دانشگاه و موسسه آموزشی از خدمات این سامانه استفاده می کنند
اوایل امسال بود که یک محقق امنیتی به نام «جاشوا مولیکن»، یک آسیب پذیری در مکانیسم تایید هویت مورد استفاده در این دو سیستم کشف کرد که به هکرها اجازه می داد با نفوذ به ساختاری از داده که اطلاعات کاربران را موقتاً ذخیره می کرد (Web Session)، به حساب ها دسترسی پیدا کنند. او خرداد ماه آسیب پذیری را برطرف کرد و خبر آن نیز به شکل عمومی از طریق محقق و سازمان ملی استانداردها و تکنولوژی این کشور منتشر شد.
اما در یک هشدار امنیتی که چهارشنبه منتشر شد، وزارت آموزش آمریکا خبر از هک سایت دانشگاه های این کشور داد. به گفته این سازمان آن ها موفق به شناسایی 62 کالج و دانشگاه شده اند که مورد حمله قرار گرفته بودند.
«ما اخیرا اطلاعاتی دریافت کرده ایم که نشان می دهد هکرها ماه ها مشغول به بررسی اینترنت و آموزشگاه هایی بوده اند که از طریق این آسیب پذیری بتوان به آن ها حمله کرد، و لیستی از اسامی آن ها تهیه کرده بودند.»
هک سایت دانشگاه
به گفته مقامات، هکرها پس از ورود به سیستم ها اقدام به ساخت اکانت های مختلف در بخش قبولی دانشگاه ها کرده بودند. مهاجمان در فاصله چند روز بعد از هک سایت دانشگاه ها، هزاران حساب کاربری تقلبی ایجاد کرده بودند که در یکی از موارد، 600 حساب تنها طی 24 ساعت ساخته شده بود.
گفته شده از این حساب های تقلبی از همان لحظه اول برای فعالیت های غیر قانونی استفاده شده، اما نوع آن ها هنوز اعلام نشده است. از آنجایی که سیستم هک شده با کل حساب در ارتباط است، این نگرانی وجود دارد که هکرها به اطلاعات مالی دانشجویان نیز دسترسی پیدا کنند. مسئولین دولتی حالا دانشگاه ها را مجاب کرده اند برای آسیب پذیری یاد شده فوراً وصله امنیتی ارائه کنند.
طبق اطلاعات موجود در وبسایت این سامانه، 1400 کالج، دانشگاه و موسسه آموزشی از خدمات آن استفاده می کنند.
