Hacker Claims SQL Bug sa Symantec Site

Ang isang Romanian hacker na nagastos sa nakalipas na ilang linggo na paliwanag ang isang karaniwang, ngunit mapanganib, error sa programming ng Web sa mga website ng mga vendor ng seguridad na nagsasabing natagpuan niya ang isang SQL injection flaw sa Symantec's Web site. Ngunit sinabi ni Symantec na ito ay hindi isang isyu sa seguridad. Gayunpaman, napilitan si Symantec na i-pull down ang isang seksyon ng Web site ng kumpanya Huwebes matapos ang isang Romanian hacker, na dumadaan sa pangalang Unu, inaangkin na natagpuan niya ang bug sa Symantec's Document I-download ang Sentro, isang protektado ng password na bahagi ng site ng kumpanya kung saan ang mga kasosyo sa channel ay maaaring mag-download ng mga materyales para sa mga produkto ng kumpanya.

Ang site ay nagho-host ng mga materyales sa pagmemerkado at sinabi ni Symantec na walang kumpanya o impormasyon sa customer ang nalantad.: Paano alisin ang malware mula sa iyong Windows PC

"Agad na kinuha ng Symantec ang site, nagsagawa ng komprehensibong pagsusuri at natukoy na ang isyu ay hindi isang kahinaan sa seguridad," sabi ng kumpanya sa isang pahayag noong Huwebes. "Lumilitaw na ang indibidwal na nag-ulat nito ay batay sa ulat sa isang mensahe ng error."

Ang mga kinatawan ng Symantec ay hindi makakapagkomento nang detalyado tungkol sa bagay na ito, ngunit sa pinakamasama, ang isyu ay isang kahihiyan para sa Symantec, ang pinakakilalang kilala sa buong mundo computer security vendor. "Ang kabalintunaan ng sitwasyon ay na ito ay ginagawa sa … isang pahina na nagtataguyod ng mga produkto ng seguridad tulad ng Norton AntiVirus 2009 at Norton Internet SECURITY," isinulat ni Unu sa kanyang tala na naglalarawan ng problema. "Ano ang masasabi ko: magandang advertising."

Sa isang pag-atake sa SQL injection, sinasamantala ng hacker ang mga bug sa mga program sa Web na query SQL database. Ang punto ay upang makahanap ng isang paraan upang patakbuhin ang mga utos sa loob ng mga database at impormasyon ng pag-access na karaniwang protektado.

Ang mga kapintasan na ito ay ginagamit sa malawak na pag-atake sa Web, na pinapayagan ang mga kriminal na maglagay ng malisyosong code sa libu-libong mga Web site sa nakaraang taon.

Batay sa paglalarawan ni Unu tungkol sa bagay na ito, hindi malinaw kung natagpuan niya ang isang lehitimong SQL injection flaw, sabi ni Robert Hansen, CEO ng SecTheory, isang Web security consultancy. "Siya ay maaaring maging ganap na tama Ito ay maaaring SQL iniksyon, ngunit kaya kung ano," sinabi niya. "Siguro [ang mga materyales sa pagbebenta ay talagang mahalaga sa isang magsasalakay, ngunit duda ko ito."

Lamang ng isang linggo na ang nakakaraan, Natuklasan ng Unu ang isang katulad na problema sa site ng Kaspersky Lab, pati na rin sa isang kasosyo site para sa seguridad vendor BitDefender, at sa F-Secure Web site.

Ang mga pag-atake ay nakalantad na data na nais na protektahan ng mga vendor tulad ng mga e-mail address ng customer, mga code ng activation ng produkto at data ng pananaliksik, ngunit hindi pinansyal na impormasyon. Ang pag-atake ay isang bagay na kailangan nating matutuhan at ituturo sa mga bagay na kailangan nating mapabuti, hindi ito ang katapusan ng mundo, "ang F-Secure ay nagsulat sa isang blog post, na nagsasabi sa bagay. Sa pag-atake ng F-Secure, nakuha ng hacker ang access sa mga istatistika na ang kumpanya ay nagpapanatili sa malisyosong software.