Strona producenta oprogramowania antywirusowego Kaspersky, jest prawdopodobnie nie do końca poprawnie zabezpieczona. Hakerzy odkryli możliwość zastosowania techniki SQL Injection do uzyskiwania dostępu do informacji o klientach, kodach aktywacyjnych, raportach o błędach, nazw administratorów oraz danych rozliczeniowych sklepów internetowych. Wszystko to jest możliwe dzięki wprowadzaniu odpowiedniej kombinacji znaków w adresach URL strony w domenie usa.kaspersky.com
Jak twierdzi autor odkrytej luki, był to typowy atak UNION injection, który umożliwia wykonanie komendy SELECT. Po znalezieniu liczby kolumn używając ORDER BY injection, można uzyskać dostęp do information_schema bazy danych. Dzięki temu można dowiedzieć się wszystkiego o nazwach tabel i kolumn bazy.
Obecnie firma Kaspersky wydała komunikat, że potrzebuje jeszcze czasu, aby się do tego wszystkiego ustosunkować.
Hakerzy zapewnili, że żadne dane, które mogłyby zostać wydobyte (nazwy użytkowników, hasła, e-maile), nie zostaną rozpowszechnione, więc luka nie jest krytyczna. Celem jest tylko poinformowanie firmy Kaspersky o takiej możliwości.

Źródło: http://www.theregister.co.uk/