Kaspersky Says Web Hack 'burde ikke ha skjedd'

Det er det verste Det kan skje med en datasikkerhetsleverandør: Denne helgen ble Kaspersky Lab i Moskva hacket.

En hacker, som bare identifiserte seg som Unu, sa at han kunne bryte seg inn i en del av selskapets splitter nye amerikanske supportweb Nettstedet ved å utnytte en feil i nettstedets programmering.

På en konferansesamtale med journalister sa Kaspersky Seniorforskningsingeniør Roel Schouwenberg at mens han mener at hacker ikke fikk tilgang til kundeinformasjon som e-postadresser, hack ville skade selskapets image. "Dette er ikke bra for ethvert selskap, og spesielt et selskap som arbeider med sikkerhet," sa han. "Dette burde ikke ha skjedd, og vi gjør nå alt i vår makt for å gjøre rettsmedisinene i denne saken og for å forhindre at dette noen gang skjer igjen."

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Schouwenberg skyldte brudd på en webprogrammeringsfeil som ble introdusert i en 29. januar redesign av støttesiden, noe som innebar at feilen levde på Kasperskys nettsted i ca 10 dager. "Noe gikk galt i vår interne kodesjekkingsprosess," sa han.

Denne feilen forlot Kasperskys støtteside sårbar for det som kalles et SQL-injeksjonsangrep, som kunne ha gitt hacker tilgang til ca. 2500 kunde e-postadresser og til kanskje 25 000 produktaktiveringskoder.

I et SQL-injeksjonsangrep tar hackeren fordeler av feil i Web-programmer som spørrer databaser. Poenget er å finne en måte å kjøre kommandoer i databasene og få tilgang til informasjon som normalt ville bli beskyttet.

Koden på Kasperskys nettsted blir vanligvis utsatt for en intern og ekstern revisjon. Kaspersky har ansatt databasekspert David Litchfield for å undersøke hendelsen og forventer å kunne rapportere mer om hackingen innen 24 timer, sier selskapet.

I et e-postintervju sa Litchfield at han har gjort denne typen undersøkelse før. "Typisk er det ingen problemer med undersøkelser av denne typen. Selvfølgelig kan en angriper forsøke å skjule sporene sine, noe som gjør tingene vanskeligere - men ikke umulig."

Unu varslet Kaspersky av feilen via e- post på fredag, og deretter en time senere hacked inn på nettstedet. Kaspersky så ikke den e-posten til mye senere, men selskapet skjønte at det hadde blitt hacket av rundt klokka Østtid på lørdag, sa Schouwenberg. Bare 15 minutter senere returnerte Kaspersky til en eldre versjon av sin støttesidekode, som ikke inneholdt feilen.

Kaspersky mener at Unu er fra Romania, men søker ikke rettssaker i saken. De rumenske myndighetene har begrensede ressurser og er usannsynlig å undersøke hendelsen ytterligere, sa Schouwenberg i en e-post.

Verre angrep har skjedd. Faktisk er Kaspersky hack "nesten ikke verdt å nevne" ved siden av store sikkerhetsbrudd, for eksempel den siste hacken som ga kriminelle tilgang til systemer på kredittkortprosessoren Heartland Payment Systems, sa analytiker Paul Roberts med The 451 Group. "Men Kaspersky er et sikkerhetsselskap," sa han via direktemeldinger. "Så det er en mye større registreringsrisiko her enn med, for eksempel noen supermarkeder."