据国外媒体报道,黑客利用SQL注入漏洞对马来西亚和新加坡卡巴斯基实验室(Kaspersky Lab)官方网站进行了攻击,全面威胁到网站数据库中的客户信息,产品密钥等其他敏感数据的安全。
一位自称为“Unu”的罗马尼亚黑客承认实施了此次入侵。Unu称,他是专门寻找知名IT公司,杀毒软件厂商,银行,新闻媒体或公共机构网站SQL注入漏洞的狂热爱好者。
早在今年2月份,Unu就曾利用SQL注入方式向卡巴斯基美国实验室技术支持网站发起攻击(即向该网站的数据库中植入一段恶意代码),并成功侵入客户数据库。事件发生后,卡巴斯基便雇佣了世界级数据库安全专家David Litchfield。
据悉,Unu入侵马来西亚和新加坡卡巴斯基网站的方式与上一次基本相似。可见,卡巴斯基的数据库安全应对策略收效甚微。Unu在其博客中表示:“虽然这两个网站有不同的域名,但它们的数据库是相同的,而且都是MySQL数据库。”
数据库中包括了诸如用户名,电子邮件,住址,邮政编码,城市,州,国家和加密密码等敏感的客户个人信息。另外,其中还包括了13,000多个Kaspersky Antivirus和Kaspersky Internet Security产品密钥。
此次攻击反映了安全软件公司在自身安全方面的严重疏忽。首先,很多MySQL用户可以通过互联网用任何一个IP连接服务器。同时Unu也证明,通过该漏洞泄露的客户密码可以很容易地被解密。
Unu指出,卡巴斯基数据库中的网站管理帐户密码已经被加密,这要比赛门铁克以纯文本形式存储做的更好。不过,卡巴斯基的这些密码同样可以被解密,其中一个就是“abc123”。次密码用于四个不同的管理员帐户。
据悉,葡萄牙卡巴斯基官方网站最近也被同样方式入侵。 |
