Een groep aanvallers heeft de afgelopen maanden tientallen universiteiten en overheidsinstellingen in de Verenigde Staten en Groot-Brittannië via SQL-injection gehackt. Volgens beveiligingsbedrijf Recorded Future gaat het bij elkaar om meer dan 60 organisaties die het slachtoffer werden.

SQL-injection is een probleem dat al sinds de vorige eeuw bekend is, maar nog steeds bij veel websites wordt aangetroffen omdat webdevelopers onveilig programmeren en organisaties hun websites niet laten testen. Via SQL-injection kunnen aanvallers met de database achter een website communiceren en allerlei opdrachten uitvoeren, die eigenlijk niet uitgevoerd zouden moeten worden. Op deze manier is het mogelijk om de inhoud van databases, met bijvoorbeeld gebruikersnamen, e-mailadressen en al dan niet versleutelde wachtwoorden, te stelen.

De aanvallers waar Recorded Future voor waarschuwt zouden financiële motieven voor hun aanvallen hebben en gebruiken een zelfde ontwikkelde tool om websites op SQL-injection te scannen. Organisaties kunnen zich echter eenvoudig beschermen, aldus het beveiligingsbedrijf. "SQL-injection is eenvoudig door veilig programmeren te voorkomen. Vijftien jaar aan grote datalekken hebben echter niet voorkomen dat overheden, bedrijven en universiteiten slecht geprogrammeerde webapplicaties en software gebruiken. Sommige van de grootste datalekken zoals Yahoo!, LinkedIn, HBGary en Heartland Payment Systems waren het gevolg van SQL-injection", zegt analist Levi Gundert.

Hij verwacht echter geen verbetering op de korte termijn. "Totdat organisaties een prikkel hebben, de wortel of de stok, om interne of code van derde partijen goed te auditen voordat het wordt gebruikt, blijft het probleem in de nabije toekomst bestaan." Gundert pleit dan ook voor het creëren van meer bewustzijn onder webdevelopers en wet- en regelgeving. "Helaas zullen boetes van toezichthouders of financiële verliezen door rechtszaken mogelijk de enige prikkel voor organisaties zijn om code-audits te laten plaatsvinden."