Il dominio usa.kaspersky.com è stato attaccato sabato 7 febbraio 2009. Numerosi pirati della rete, con indirizzi IP provenienti da ISP rumeni, hanno lanciato un attacco di iniezione SQL contro una sottosezione del sito americano. Quando è stata attivata una nuova versione del sito...
Il dominio usa.kaspersky.com è stato attaccato sabato 7 febbraio 2009. Numerosi pirati della rete, con indirizzi IP provenienti da ISP rumeni, hanno lanciato un attacco di iniezione SQL contro una sottosezione del sito americano. Quando è stata attivata una nuova versione del sito dell’assistenza tecnica a fine gennaio, questo conteneva una vulnerabilità.
Dopo aver effettuato l’attacco, gli hacker hanno inserito un post sul proprio blog affermando di aver ottenuto l’accesso a “informazioni personali” e “codici di attivazione” degli utenti. Un’accurata analisi condotta dagli esperti di web security di Kaspersky Lab subito dopo l’attacco, ha evidenziato che nonostante la forzatura del sito dell’assistenza non vi è stata alcuna corruzione dei dati. Nessun codice di attivazione, o informazione personale, è stato rubato.
Il personale di Kaspersky Lab è corso immediatamente ai ripari appena informato dell’accaduto, ed ha quindi corretto la vulnerabilità esistente. L’attacco non ha interessato alcun altro sito Kaspersky, né tantomeno le sezioni di e-shop collegate.
Gli specialisti di Kaspersky Lab hanno studiato l’incidente e chiamato un consulente esterno, David Litchfield di Next Generation Security Software, per fare luce sulla vicenda e confermare i risultati cui era giunta l’indagine interna. Litchfield ha comunicato il proprio responso a Kaspersky Lab martedì 12 febbraio, concludendo che non vi sono stati danneggiamenti dei dati sensibili.
Ecco un estratto del report di Litchfield:
“Il sito e il database usa.kaspersky.com sono stati effettivamente violati sabato 7 febbraio, la mattina. Kaspersky è stato colpito volutamente. L’hacker, di stanza in Romania, ha impiegato Google per trovare dei web server di proprietà di Kaspersky con applicazioni che potessero essere vulnerabili all’iniezione SQL. Il pirata sostiene di essere stato in grado di accedere ad informazioni private dei clienti, ma di non averle manomesse. La sua affermazione è corretta e, come appare dai file di log del web server, si ha testimonianza di come egli abbia tentato di ottenere l’accesso ai dati dei clienti senza però esservi riuscito. In nessun modo egli ha avuto accesso ai dettagli degli utenti.
Sabato il pirata della rete ha reso pubblico che il sito usa.kaspersky.com era vulnerabile all’iniezione SQL. Ciò ha suscitato l’attenzione di altri hacker che, da varie località, hanno quindi cominciato a sondare ulteriormente il sito. Nessuno di questi tentativi ha portato all’ottenimento dei dati riguardanti l’utente. Appena avuta notizia della minaccia, Kaspersky Lab ha immediatamente rimosso il web server vulnerabile, prevenendo così ulteriori e più profonde violazioni.”
Kaspersky Lab riconosce il fatto che questo attacco avrebbe potuto portare a conseguenze molto più serie. La società sta effettuando un dettagliato audit della sicurezza di tutti i propri siti ufficiali e sviluppando nuove procedure di verifica interna per assicurare che le risorse dell’azienda siano protette da simili attacchi in futuro.
Va ricordato che il cuore della competenza di Kaspersky Lab sta nello sviluppo di soluzioni anti-malware: anche se l’attacco è naturalmente causa di preoccupazione, quindi, esso non ha alcun impatto sulla qualità dei prodotti sviluppati e distribuiti dalla società.
