Kaspersky美国网站曝漏洞 机密资讯恐外泄
据一位骇客在部落格中透露,卡巴斯基的一个安全过失暴露了大量的有关卡巴斯基产品和客户的专有资讯。
这个部落格发表了卡巴斯基网站的抓图和其他细节以支援他的说法。
这个骇客在星期六(2月7日)发表的部落格中表示,一个简单的SQL injection攻击就能够存取卡巴斯基的包含用户、
启用码、安全漏洞列表、管理员和购买等资讯的资料库。这个骇客表示,对一个URL位址进行简单地修改就能够存
取这个网站的整个资料库。抓图显示这个攻击主要集中在卡巴斯基美国公司的技术支援和知识库,包含了超过150个Table的名称。
安全厂商Matasano的研究员Thomas Ptacek在这个事件发生几小时后的采访中说,"我认为这看起来像是真实的。"他指出,
抓图中的URL栏显示的usa.kaspersky.com和右边的文字
"concat_ws(0x3a,ver"
是用于修改这个网页背后的资料库请求,其中之一能骗过资料库并存取任意的资料。
防毒软体公司AVG的首席研究官Roger Thompson也同意这个观点。他说,我为卡巴斯基感到遗憾。"我不能说100%肯定,
但这看起来是真实的。
卡巴斯基发言人尚未对此发表回应。
倘若这个入侵事件属实,将不是卡巴斯基网站首次遭到SQL injection攻击。去年七月时,该公司马来西亚网站就曾遭到土
耳其骇客入侵,而根据Zone-h的纪录,自2000年起,已经有36个卡巴斯基网站遭到入侵。
但相较之下,这次的事件显得更为严重,安全专家指出,因为客户的资料有可能外泄,同时也将使得卡巴
斯基网站遭到其他型态的恶意利用。
IBM ISS的安全策略长Gunter Ollmann在部落格表示,"由于该公司拥有大量的使用者,我希望卡巴斯基的管理
员能尽速修正这项漏洞。这个严重的漏洞可以被用来非法更新该公司的产品,甚至在网页上更换恶意版本的软体。
新闻来源:
资安之眼
