ゲスの極み乙女。 - 私以外私じゃないの
今週末、モスクワのカスペルスキー・ラボがハッキングされた。
Unuとしてしか知られていなかったハッカーは、同社の新しい米国サポートWebサイトのセクションに侵入することができたと語った
記者との電話会議で、カスペルスキーシニアリサーチエンジニアのRoel Schouwenberg氏は、ハッカーは電子メールアドレスなどの顧客情報にアクセスしていないと考えているが、ハックは同社のイメージを傷つけるだろう。 「これはどんな会社、特にセキュリティを扱っている会社にとっても良いことではない」と彼は語った。 "これは起こってはならない、我々は今、この事件について法医学を行い、これが再び起きるのを防ぐために、すべてのことをやっている。" [
] [詳しい読書:あなたのWindows PCからマルウェアを取り除く方法]Schouwenberg氏は、1月29日のサポートサイトの再設計で導入されたWebプログラミングの欠陥に違反したと非難した。これは、このバグが約10日間Kasperskyのサイトに生存していたことを意味する。 "内部コードレビュープロセスで何かが間違っていた"と彼は述べた。この欠陥は、カスペルスキーのサポートサイトをSQLインジェクション攻撃として脆弱にして、ハッカーが約2,500の顧客電子メールアドレスにアクセスできるようにした。 SQLインジェクション攻撃では、ハッカーはデータベースに問い合わせるWebプログラムのバグを利用します。重要な点は、データベース内でコマンドを実行し、通常保護される情報にアクセスする方法を見つけることです。
KasperskyのWebサイトのコードは、通常、内部監査と外部監査の対象となります。カスペルスキー氏はデータベースの専門家デビッド・リッチフィールドを雇ってこの事件を調査し、24時間以内にハッキングについてさらに報告できると予想していると同氏は述べている[
]。電子メールのインタビューで、リッチフィールド氏はこの種の調査を行った前。 「一般的に、このタイプの調査では問題はありませんが、攻撃者はトラックを隠そうとする可能性がありますが、不可能ではありませんが、不可能ではありません。」UnuはKasperskyにe- 1時間後にサイトにハッキングされました。 Kasperskyはずっと後でその電子メールを見なかったが、同社は土曜日の正午正午までにハッキングされていたとSchouwenberg氏は話した。わずか15分後、Kasperskyはエラーを含まない旧バージョンのサポートサイトコードに戻りました。
Kasperskyは、Unuはルーマニア出身ですが、このケースでは法的措置を求めていないと考えています。 Schouwenberg氏によると、ルーマニア当局は資源が限られており、事件の詳細を調査することはほとんどできない、と電子メールで伝えた。
さらに深刻な攻撃が行われた。実際、カスペルスキーのハックは、クレジットカードプロセッサ「ハートランドペイメントシステム」のシステムに犯罪者がアクセスできるようにした最近のハックのような、大きなセキュリティ侵害の横に「ほとんど言及する価値がない」とThe 451 GroupのアナリストPaul Roberts氏は語る。 「しかしカスペルスキーはセキュリティ会社だ」と彼はインスタントメッセージで語った。 「スーパーマーケットなどと比べると、評判がはるかに高いリスクがある」(
)