Hacker påståenden SQL-fel på Symantec-webbplatsen

En rumänsk hackare som har spenderat de senaste veckorna på att avslöja ett gemensamt men farligt webbprogrammeringsfel på säkerhetsleverantörerna säger att han har hittat en fel på SQL-injektion på Symantecs webbplats. Men Symantec säger att det inte är ett säkerhetsproblem.

Symantec var fortfarande tvungen att dra ner en del av företagets webbplats torsdagen efter att en rumänsk hackare, med namnet Unu, hävdade att han hade hittat buggen i Symantecs dokument Nedladdningscenter, en lösenordsskyddad del av företagets webbplats där kanalpartner kan hämta försäljningsmaterial för företagets produkter.

Webbplatsens marknadsföringsmaterial och Symantec sa att ingen företagsinformation eller kundinformation var utsatt.

[Läs mer: Så här tar du bort skadlig kod från din Windows-dator]

"Symantec tog omedelbart ner sidan, genomförde omfattande test och bestämde att problemet inte är ett säkerhetsproblem," sa företaget i ett uttalande på torsdagen. "Det verkar som om den person som rapporterade det baserade rapporten på ett felmeddelande."

Symantecs företrädare kunde inte kommentera i detalj, men i värsta fall är problemet en skam för Symantec, världens mest kända datasäkerhetsleverantör. "Ironi av situationen är att det är gjort på … en sida som främjar säkerhetsprodukter som Norton AntiVirus 2009 och Norton Internet SECURITY", skrev Unu i sin anteckning som beskriver problemet. "Vad kan jag säga: bra reklam."

I en SQL-injektionsattack utnyttjar hackaren buggar i webbprogram som söker SQL-databaser. Poängen är att hitta ett sätt att köra kommandon i databaserna och få tillgång till information som normalt skulle skyddas.

Dessa brister har använts i utbreda webbattacker, som har gjort det möjligt för brottslingar att placera skadlig kod på tusentals webbplatser över

Det är oklart huruvida han fann en legitim SQL-injektionsfel, säger Robert Hansen, VD för SecTheory, en webbsäkerhetskonsult. "Han kunde vara helt rätt. Det här kan vara SQL-injektion, men så vad," sa han. "Kanske [försäljningsmaterial är] verkligen värdefulla för en angripare, men jag tvivlar på det."

För över en vecka sedan hittade Unu ett liknande problem på Kaspersky Labs webbplats, liksom på en partnerwebbplats för säkerhetsleverantören BitDefender, och på F-Secure-webbplatsen.

Anfallen har utsatta data som leverantörerna hade velat skydda, till exempel e-postadresser, produktaktiveringskoder och forskningsdata, men inte ekonomisk information.

"Medan attack är något vi måste lära av och pekar på saker vi behöver förbättra, det är inte världens ände ", skrev F-Secure i en bloggpost och kommenterade frågan. I F-Secure-attacken kunde hackaren få tillgång till statistik som företaget håller på skadlig programvara.