Manglende input-validering førte til hacking af sikkerhedsfirma

For et sikkerhedsfirma er det af åbenlyse grunde ikke morsomt at blive udsat for et vellykket hackerangreb. Men af lige så åbenlyse grunde står firmaerne højt på listen over prestigefyldte mål for de hackere, som går efter berømmelse.

Det er senest gået ud over det russiske sikkerhedsfirma Kaspersky, hvor databasen på selskabets amerikanske supportwebsted blev angrebet af hackere.

Angrebet kunne lade sig gøre på grund af manglende inputvalidering i en webapplikation. Det er den mest almindelige type sikkerhedshul for webapplikationer.

Ifølge Kaspersky fik hackerne adgang til databasen ved analysere webapplikationen med en piratkopieret udgave af sikkerhedsværktøjet Acunetix, som er beregnet til at finde sikkerhedshuller, så de kan udbedres.

Efter at have fundet sikkerhedshullet gik hackerne over til manuelt at forsøge at stjæle data fra databasen. Først sendte de forespørgsler til databasen for at få overblik over dens struktur.

Derefter forsøgte de at trække data ud af selve databasen, men begik den fejl at sende deres forespørgsler til den forkerte database og fik derfor ingen data ud af forsøget.

I stedet valgte hackerne at bruge de oversigter over tabellerne i databasen, som de havde trukket ud, til at forsøge at gå efter berømmelse i stedet for et økonomisk udbytte fra de data, der eventuelt lå i databasen.

»De besluttede at demonstrere deres 'fine etiske regler' ved at sende en e-mail til Kaspersky. På en lørdag til flere offentlige e-mailadresser. De gav os præcis én time til at svare, og publicerede angrebet på deres weblog uden at have fået et svar,« skriver Vitaliy Kamlyuk fra Kaspersky på selskabets weblog.

Den webapplikation, som hackerne angreb, var udviklet af en ekstern leverandør og havde ikke gennemgået det sædvanlige gennemsyn, oplyser Kaspersky til magasinet eWeek.

Databasen indeholdt blandt andet produktnøgler og e-mailadresser på kunder, men ingen kreditkortdata. I betragtning af, at logfilerne viser, at der ikke blev udtrukket data udover oversigten over tabellerne fra databasen, er den største skade derfor sket på Kasperskys omdømme.

»Det er bare noget, som ikke må ske,« siger chefsikkerhedsanalytiker Roel Schouwenberg fra Kaspersky til eWeek.