Strona producenta oprogramowania antywirusowego Kaspersky, jest prawdopodobnie nie do ko�ca poprawnie zabezpieczona. Hakerzy odkryli mo�liwo�� zastosowania techniki SQL Injection do uzyskiwania dost�pu do informacji o klientach, kodach aktywacyjnych, raportach o b��dach, nazw administrator�w oraz danych rozliczeniowych sklep�w internetowych. Wszystko to jest mo�liwe dzi�ki wprowadzaniu odpowiedniej kombinacji znak�w w adresach URL strony w domenie usa.kaspersky.com
Jak twierdzi autor odkrytej luki, by� to typowy atak UNION injection, kt�ry umo�liwia wykonanie komendy SELECT. Po znalezieniu liczby kolumn u�ywaj�c ORDER BY injection, mo�na uzyska� dost�p do information_schema bazy danych. Dzi�ki temu mo�na dowiedzie� si� wszystkiego o nazwach tabel i kolumn bazy.
Obecnie firma Kaspersky wyda�a komunikat, �e potrzebuje jeszcze czasu, aby si� do tego wszystkiego ustosunkowa�.
Hakerzy zapewnili, �e �adne dane, kt�re mog�yby zosta� wydobyte (nazwy u�ytkownik�w, has�a, e-maile), nie zostan� rozpowszechnione, wi�c luka nie jest krytyczna. Celem jest tylko poinformowanie firmy Kaspersky o takiej mo�liwo�ci.

�r�d�o: http://www.theregister.co.uk/