De Amerikaanse website van securityspecialist Kaspersky Lab werd het slachtoffer van een SQL-injection aanval. Ook de site van een Bitdefender partner in Portugal zou zijn geraakt.
De Russische producent van securityproducten, Kaspersky Lab, bevestigt de claim op een Roemeense site van hackers dat de site van de Kaspersky-vestiging in de Verenigde Staten het slachtoffer werd van een SQL-injection aanval. Het bedrijf stelt evenwel met klem dat er geen data werden gelekt, hoewel dat volgens de hacker wel het geval had kunnen zijn. Naar verluidt ging het om informatie over 2.500 klanten en 25.000 activeringscodes. Kaspersky Lab onderstreept voorts dat de hoofdsite of andere landensites geen gevaar liepen.
De aanval werd uitgevoerd op een stuk van de site dat recent online kwam en waarvan de software door derden werd ontwikkeld, zonder deugdelijke code review, aldus Roel Schouwenberg, senior antivirus researcher bij Kaspersky. Een externe expert inzake database security werd aangezocht de betrokken systemen door te lichten.
Het incident wijst wel eens te meer op de noodzaak ontwikkelaars meer inzicht bij te brengen in het vermijden van securityzwakten. SQL-injection – de mogelijkheid om sql statements in malafide input op te nemen – is immers een probleem dat al jaren gekend is en waaraan ontwikkelaars nog steeds te weinig aandacht aan besteden.
Op de Roemeense hackersite werd ook geclaimd dat de Portugese site van antivirusspecialist Bitdefender op een zelfde wijze werd gekraakt, maar het bedrijf stelt dat het de site van een partner betrof.
