TWed2k - 轉貼文字區 - [轉貼]Kaspersky美國網站曝漏洞機密資訊恐外泄

poliu
銀驢友〔中級〕

．積分： 560
．文章： 1627
．收花： 4403 支
．送花： 5477 支
．比例： 1.24
．在線： 3912 小時
．瀏覽： 38651 頁
．註冊： 8052 天
．失蹤： 263 天
． Taiwan-Tainan

#1 : 2009-2-9 06:11 PM 全部回覆	送花 (8) 送出中...

據一位駭客在部落格中透露，卡巴斯基的一個安全過失暴露了大量的有關卡巴斯基產品和客戶的專有資訊。這個部落格發表了卡巴斯基網站的抓圖和其他細節以支援他的說法。

這個駭客在星期六(2月7日)發表的部落格中表示，一個簡單的SQL injection攻擊就能夠存取卡巴斯基的包含用戶、啟用碼、安全漏洞列表、管理員和購買等資訊的資料庫。這個駭客表示，對一個URL位址進行簡單地修改就能夠存取這個網站的整個資料庫。抓圖顯示這個攻擊主要集中在卡巴斯基美國公司的技術支援和知識庫，包含了超過150個Table的名稱。

安全廠商Matasano的研究員Thomas Ptacek在這個事件發生幾小時後的採訪中說，"我認為這看起來像是真實的。"他指出，抓圖中的URL欄顯示的usa.kaspersky.com和右邊的文字"concat_ws(0x3a,ver"是用於修改這個網頁背後的資料庫請求，其中之一能騙過資料庫並存取任意的資料。

防毒軟體公司AVG的首席研究官Roger Thompson也同意這個觀點。他說，我為卡巴斯基感到遺憾。"我不能說100%肯定，但這看起來是真實的。"

卡巴斯基發言人尚未對此發表回應。

倘若這個入侵事件屬實，將不是卡巴斯基網站首次遭到SQL injection攻擊。去年七月時，該公司馬來西亞網站就曾遭到土耳其駭客入侵，而根據Zone-h的紀錄，自2000年起，已經有36個卡巴斯基網站遭到入侵。

但相較之下，這次的事件顯得更為嚴重，安全專家指出，因為客戶的資料有可能外洩，同時也將使得卡巴斯基網站遭到其他型態的惡意利用。

IBM ISS的安全策略長Gunter Ollmann在部落格表示，"由於該公司擁有大量的使用者，我希望卡巴斯基的管理員能儘速修正這項漏洞。這個嚴重的漏洞可以被用來非法更新該公司的產品，甚至在網頁上更換惡意版本的軟體。"
新聞來源: 資安之眼

相關關鍵字: Kaspersky 卡巴斯基 SQL injection 入侵

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接