Hacker tvrdí SQL Bug na webu společnosti Symantec

Rumunský hacker, který minulý týden strávil společnou, ale nebezpečnou chybu webového programování na webových stránkách dodavatelů zabezpečení, uvádí, že na webu společnosti Symantec nalezl chybu v injekci SQL. Ale společnost Symantec tvrdí, že to není bezpečnostní problém.

Symantec byl ale nucen stáhnout ve čtvrtek webovou stránku společnosti, když rumunský hacker, jménem Unu, tvrdil, že našel chybu v dokumentu společnosti Symantec Centrum stahování, část chráněná heslem společnosti, kde partneři mohou stáhnout prodejní materiály pro produkty společnosti.

Na stránkách jsou umístěny marketingové materiály a společnost Symantec uvedla, že žádná společnost nebo informace o zákaznících nebyly vystaveny.: Jak odstranit malware z vašeho počítače se systémem Windows]

"Společnost Symantec okamžitě spustila web, provedla komplexní testování a zjistila, že problém není bezpečnostní zranitelností," uvedla společnost ve svém prohlášení ve čtvrtek. "Zdá se, že jednotlivec, který ohlásil, že sestavu založil na chybové zprávě."

Zástupci společnosti Symantec nemohli podrobně komentovat tuto záležitost, avšak v nejhorším případě jde o rozpaky pro společnost Symantec, dodavatele počítačové bezpečnosti. "Ironií situace je to, že se děje na … stránce, která propaguje bezpečnostní produkty jako Norton AntiVirus 2009 a Norton Internet SECURITY," napsal Unu ve své poznámce popisující problém. "Co mohu říci: hezká reklama."

V útoku SQL injection hacker využívá chyby ve webových programech, které dotazují SQL databáze. Jedná se o způsob, jak spustit příkazy v databázích a získat přístup k informacím, které by byly normálně chráněny.

Tyto nedostatky byly použity v rozsáhlých webových útokech, které umožnily zločincům umístit škodlivý kód na tisíce webových stránek minulý rok.

Na základě popisu věci Unu není jasné, zda našel legitimní chybu v injekci SQL, řekl Robert Hansen, generální ředitel společnosti SecTheory, poradce pro webovou bezpečnost. "Mohl by mít naprostou pravdu, mohlo by to být SQL injekce, ale co tak," řekl. "Možná [prodejní materiály jsou] opravdu cenné pro útočníka, ale pochybuji o tom."

Před více než týdnem našel Unu podobný problém v síti společnosti Kaspersky Lab, stejně jako v partnerství pro dodavatele zabezpečení BitDefender, a na webu F-Secure

Útoky odhalily data, které dodavatelé chtěli chránit, jako jsou e-mailové adresy zákazníků, kódy pro aktivaci produktu a údaje z výzkumu, nikoliv však finanční informace. útok je něco, z něhož se musíme poučit a poukazuje na věci, které potřebujeme zlepšit, není to konec světa, "napsal F-Secure v blogu a komentoval tuto záležitost. V útoku F-Secure se hackerovi podařilo získat přístup ke statistikám, ve kterých společnost udržuje škodlivý software.