Kaspersky Says Web Hack "borde inte ha hänt"

Det är det värsta Det kan hända med en datasäkerhetsleverantör: I helgen har Kaspersky Lab i Moskva hackats.

En hackare, som bara identifierade sig som Unu, sa att han kunde bryta sig in i en del av företagets helt nya amerikanska supportwebb webbplatsen genom att utnyttja en fel i webbplatsens programmering.

Vid ett konferenssamtal med reportrar sade Kaspersky Senior Research Engineer Roel Schouwenberg att medan han tror att hacker inte kunde få tillgång till någon kundinformation såsom e-postadresser, hack skulle skada företagets image. "Det här är inte bra för något företag, och särskilt ett företag som arbetar med säkerhet," sa han. "Det borde inte ha hänt, och vi gör nu allt som står i vår makt för att göra rättsmedicinen i det här fallet och för att förhindra att det någonsin händer igen."

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Schouwenberg påkallade brottet på en webprogrammeringsfel som introducerades i en 29 december ombyggnad av supportwebbplatsen, vilket innebar att buggen levde på Kasperskys webbplats i cirka 10 dagar. "Något gick fel i vår interna kodgranskningsprocess", sa han.

Denna fel lämnade Kasperskys supportwebbplats sårbar för vad som är känt som en SQL-injektionsattack, vilket kunde ha gett hacker åtkomst till cirka 2500 e-postadresser för e-postadresser och till kanske 25 000 produktaktiveringskoder.

I en SQL-injektionsattack utnyttjar hackaren buggar i webbprogram som frågar databaser. Poängen är att hitta ett sätt att köra kommandon i databaserna och få tillgång till information som normalt skulle skyddas.

Koden på Kasperskys webbplats utsätts vanligtvis för en intern och extern revision. Kaspersky har anställt databasen expert David Litchfield för att undersöka händelsen och förväntar sig att kunna rapportera mer om hacken inom 24 timmar, säger företaget.

I en e-postintervju sa Litchfield att han har gjort denna typ av utredning innan. "Vanligtvis är det inga problem med utredningar av denna typ. Naturligtvis kan en angripare försöka dölja sina spår, vilket gör det svårare - men inte omöjligt."

Unu anmälde Kaspersky av felet via e- post på fredag ​​och sedan en timme senare hackade in på webbplatsen. Kaspersky såg inte det e-postmeddelandet förrän mycket senare, men företaget insåg att det hade hackats runt middagen Eastern Time på lördag, sa Schouwenberg. Bara 15 minuter senare återvände Kaspersky till en äldre version av dess supportwebbkod, som inte innehöll felet.

Kaspersky anser att Unu är från Rumänien, men söker inte rättsliga åtgärder i ärendet. Rumänska myndigheter har begränsade resurser och är osannolikt att undersöka incidenten ytterligare, sade Schouwenberg i ett mail.

Sämre attacker har hänt. Faktum är att Kaspersky hack är "knappt till och med värt att nämna" bredvid stora säkerhetsbrott, till exempel det senaste hacket som gav brottslingar tillgång till system på kreditkortsprocessorn Heartland Payment Systems, säger analytiker Paul Roberts med The 451 Group. "Men Kaspersky är ett säkerhetsföretag," sa han via snabbmeddelande. "Så det finns en mycket större ansvarsrisk här än med, säg lite mataffär."