SQL injection на сайте Лаборатории Касперского
dl // 09.02.09 06:22
HackersBlog опубликовал в субботу информацию о наличии SQL injection на сайте Лаборатории Касперского, позволяющей получить доступ к списку пользователей, кодам активации и прочей критичной информации путем простой модификации адреса запрашиваемой веб-страницы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/02/02.html]
В качестве подтверждения опубликован список имен таблиц (более 150 штук), доступ к которым был получен таким образом, и несколько скриншотов, на которых можно увидеть имя пользователя, хэш пароля и т.п.
Пока не вполне понятно, действительно ли был получен доступ ко всей критичной информации, или дело ограничилось только списком таблиц, официальной реакции еще не было. Открытым остается и вопрос, не повлияет ли все это на конечных пользователей, называется как минимум два гипотетических сценария усугубления проблемы: целенаправленные атаки на "засвеченных" пользователей, а также модификация страниц обновления с линковкой затрояненных версий продуктов. Ситуация не самая приятная, впрочем, согласно архивам Zone-h, с 2000 года уже было 36 взломов различных сайтов ЛК - например, в июле опять-таки через SQL injection на малайзийском сайте ЛК были размещены протурецкие лозунги. Так что ребятам не привыкать.
