कास्पर्स्की वेब हैक का कहना नहीं है'

यह सबसे बुरी चीज है यह एक कंप्यूटर सुरक्षा विक्रेता के साथ हो सकता है: इस सप्ताहांत, मॉस्को के कैस्पर्सकी लैब को हैक किया गया था।

एक हैकर, जिसने खुद को केवल यू के रूप में पहचाना, ने कहा कि वह कंपनी के ब्रांड-नए यूएस समर्थन वेब के एक खंड में तोड़ने में सक्षम था साइट के प्रोग्रामिंग में एक दोष का लाभ उठाकर साइट।

संवाददाताओं के साथ एक कॉन्फ्रेंस कॉल पर, कैस्पर्सकी सीनियर रिसर्च इंजीनियर रॉयल शूवेनबर्ग ने कहा कि जब वह मानते हैं कि हैकर किसी भी ग्राहक की जानकारी जैसे ई-मेल पते तक नहीं पहुंच पाता है, हैक कंपनी की छवि को चोट पहुंचाएगा। उन्होंने कहा, "यह किसी भी कंपनी के लिए अच्छा नहीं है, और विशेष रूप से सुरक्षा से निपटने वाली कंपनी"। "ऐसा नहीं होना चाहिए था, और अब हम इस मामले पर फोरेंसिक करने के लिए हमारी शक्ति के भीतर सब कुछ कर रहे हैं और इसे फिर से होने से रोकने के लिए।"

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

शूवेनबर्ग ने एक वेब प्रोग्रामिंग दोष पर उल्लंघन को दोषी ठहराया जिसे समर्थन साइट के 2 9 जनवरी को फिर से डिजाइन किया गया था, जिसका अर्थ है कि बग लगभग 10 दिनों तक कास्पर्सकी की साइट पर लाइव था। "हमारी आंतरिक कोड समीक्षा प्रक्रिया में कुछ गड़बड़ हुई," उन्होंने कहा।

इस दोष ने कास्पर्सकी की समर्थन साइट को एसक्यूएल इंजेक्शन हमले के रूप में जाना जाता है, जो हैकर को 2,500 ग्राहक ई-मेल पते तक पहुंच प्रदान कर सकता था और शायद 25,000 उत्पाद सक्रियण कोड।

एक एसक्यूएल इंजेक्शन हमले में, हैकर वेब प्रोग्रामों में बग का लाभ उठाता है जो डेटाबेस से पूछताछ करता है। बिंदु डेटाबेस के भीतर कमांड चलाने और सामान्य रूप से संरक्षित जानकारी तक पहुंचने का तरीका ढूंढना है।

कैस्परस्की की वेबसाइट पर कोड आम तौर पर आंतरिक और बाहरी लेखापरीक्षा के अधीन होता है। कंपनी ने कहा कि कैस्परस्की ने घटना की जांच करने के लिए डेटाबेस विशेषज्ञ डेविड लिचफील्ड को किराए पर लिया है और 24 घंटे के भीतर हैक पर अधिक रिपोर्ट करने में सक्षम होने की उम्मीद है।

एक ई-मेल साक्षात्कार में, लिचफील्ड ने कहा कि उसने इस प्रकार की जांच की है पहले। "आम तौर पर इस प्रकार की जांच के साथ कोई समस्या नहीं है। बेशक, एक हमलावर अपने पटरियों को छिपाने का प्रयास कर सकता है, जो चीजों को और अधिक कठिन बनाता है - लेकिन किसी भी तरह से असंभव नहीं है।"

यूयू ने ई-मेल के माध्यम से बग के कैस्पर्सकी को अधिसूचित किया। शुक्रवार को मेल, और फिर एक घंटे बाद साइट पर हैक किया। कास्पर्स्की ने बाद में ई-मेल नहीं देखा, लेकिन कंपनी को एहसास हुआ कि शनिवार को दोपहर पूर्वी समय तक इसे हैक किया गया था, शूवेनबर्ग ने कहा। केवल 15 मिनट बाद, कास्पर्स्की अपने समर्थन साइट कोड के पुराने संस्करण में वापस लौट आया, जिसमें त्रुटि नहीं थी।

कास्पर्सकी का मानना ​​है कि यूनू रोमानिया से है, लेकिन इस मामले में कानूनी कार्रवाई नहीं कर रहा है। रोमानियाई अधिकारियों के पास सीमित संसाधन हैं और इस घटना की जांच करने की संभावना नहीं है, शूवेनबर्ग ने एक ई-मेल में कहा।

खराब हमले हुए हैं। वास्तव में, 451 समूह के एक विश्लेषक पॉल रॉबर्ट्स ने कहा कि वास्तव में, कैस्परस्की हैक प्रमुख सुरक्षा उल्लंघनों के बगल में "उल्लेखनीय रूप से उल्लेखनीय है", जैसे कि हालिया हैक ने क्रेडिट कार्ड प्रोसेसर हार्टलैंड पेमेंट सिस्टम्स पर सिस्टम तक पहुंच प्रदान की है। "लेकिन कास्पर्स्की एक सुरक्षा कंपनी है," उन्होंने तत्काल संदेश के माध्यम से कहा। "तो कुछ सुपरमार्केट कहने के बजाय यहां एक बड़ा प्रतिष्ठा जोखिम है।"