Man må forvente, at et sikkerhedsfirma har en kontant holdning til it-sikkerhed. Men både Kaspersky og Bitdefender har tilsyneladende glemt at sikkerheden også skal gælde deres websites. Resultatet blev blottede databaser og eksponering af kritiske informationer.
Et website er en virksomheds ansigt udad til. Hvis det hackes siger det generelt noget om virksomhedens holdning og fokus på it-sikkerhed. Går det ud over den lille vinduespudser - så er det både ærgeligt og irreterende. Men sker det for et it-sikkerhedsfirma - så er listen af negative superlativer meget lang!
Det er netop, hvad der er sket for it-sikkerhedsvirksomhederne Kaspersky og Bitdefender på deres websites i henholdsvis USA og Portugal. Lad mig sige det som ligger lige på tungen: Hvor sikker kan man være på disse producenters produkter, når de ikke formår at kunne sikre deres websites?
For Kasperskys vedkommende har det udførte SQL Injection angreb blottet hele deres database. Vi taler om komplet adgang til tabeller med brugere, aktiveringskoder, interne lister over bugs, administratorområde, webshop med flere. Alt sammen dokumenteret. *Oh-My-God*
Den komplette liste fra usa.kaspersky.com er dokumenteret fuldt ud på HackersBlog.
Hos Bitdefender er det også SQL Injection som har gjort det muligt at trække information ud af databasen. Her er det også muligt at trække information ud om databasenavn, administratorer, deres passwords (MD5 kodet), SessionID med mere.
Samtidig er det muligt at liste registrerede kunders personlige informationer fra Salgs tabellen - samt flere tusinde e-mail adresser fra Nyhedsbrev tabellen. Igen siger et billede mere end tusinde ord - så her er den grafiske dokumentation fra HackersBlog om sikkerheden hos Bitdefender:
Mon ikke der sidder nogle personer i de respektive virksomheder med meget, meget røde øren i øjeblikket. Og mon ikke der også kan komme en udskiftning i medarbejderstaben på tale?