Producenci zabezpieczeń powinni lepiej się zabezpieczyć

Jak mówi przysłowie, szewc bez butów chodzi - nawet firmiespecjalizującej się w zabezpieczeniach zdarzają się wpadki, o czymświadczą weekendowe ataki na witryny Kaspersky Labs iBitDefender. Haker posługujący się pseudonimem unu opublikował na swoim blogu dowód włamania dobazy danych głównego serwisu Kaspersky Labs oraz portugalskiej(prawdopodobnie jest to kraj pochodzenia hakera) witrynyBitDefender. Obie firmy są dobrze znane z produkcji oprogramowaniaantywirusowego, jak i przeznaczonego do bardziej kompleksowejochrony komputera. Włamanie było klasycznym atakiem SQL Injection,czyli polegało na wstrzyknięciu odpowiednio przygotowanegozapytania do bazy wykorzystując luki w najczęściej niedbalenapisanych aplikacjach internetowych. Co udało się uzyskać? Unu prezentuje kilkanaście screenów zarówno zwłamania do Kasperskiego, jak i BitDefendera, na których widać, że w ten sposób atakujący możedowiedzieć się praktycznie wszystkiego - poznać administracyjnehasła dostępu do bazy, jak i listę zarejestrowanych klientów wraz zich danymi, przedłużyć sobie klucz licencyjny, zamieszać wzamówieniach w sklepie internetowym czy podmienić treści dowolnejstrony. Kaspersky zareagował praktycznie natychmiast i w ciągu 30 minutluka została załatana. Usterki w witrynie BitDefendera zostałyupublicznione dopiero dzisiaj, firma również została jużpoinformowana o problemie. Sam haker zaznacza, że jego celem jestwyłącznie wskazanie luk w zabezpieczeniach - zapewnia, że niezmodyfikował ani nie zapisał żadnych danych i nie wykorzysta ich dowłasnych celów.