Website-Hack

Kaspersky: "Das hätte nicht passieren dürfen"

10.02.2009
Von Katharina Friedmann 
Eine am Wochenende bekannt gewordene SQL-Injection-Schwachstelle in Kasperskys US-Website, die einem Angreifer Zugriff auf Kundendaten ermöglicht haben soll, gibt dem russischen Sicherheitsanbieter zu beißen.

Wie ein Hacker unter dem Pseudonym "unu" am Wochenende auf hackersblog.org berichtet hatte, wies Kasperskys US-amerikanische Support-Seite bis vor kurzem eine Schwachstelle auf, durch die besagter Blogger via SQL-Injection auf sensible Daten wie etwa E-Mail-Adressen von Kunden und Produktaktivierungscodes zugreifen konnte. Bei einer SQL-Injection-Attacke werden Bugs in Web-Anwendungen, die Datenbanken abfragen, ausgenutzt, um Zugriff auf normalerweise geschützte Informationen zu erhalten.

Zwar sei auszuschließen, dass der Hacker tatsächlich auf Kundendaten zugegriffen habe, so Roel Schouwenberg, Senior Research Engineer bei Kaspersky, gegenüber US-Medien. Nichtsdestotrotz schade ein derartiger Vorfall dem Ruf eines Unternehmens - speziell aber dem Image einer auf Sicherheit spezialisierten Firma. "Das hätte nicht passieren dürfen", räumt Schouwenberg ein. Kaspersky tue alles in seiner Macht stehende, um dem Fall nachzugehen und zu verhindern, dass sich so etwas wiederhole. Ihm zufolge ist die Schwachstelle auf einen Programmierfehler zurückzuführen, der sich im Zuge eines Redesigns der Site "usa.kaspersky.com/support" eingeschlichen hat. "Offenbar ist da in unserem internen Code-Reviewing-Prozess etwas schief gelaufen", so Schouwenberg. Die überarbeitete Seite sei am 29. Januar live gegangen und demnach für etwa zehn Tage anfällig gewesen.

Im Regelfall wird Code auf der Kaspersky-Site einer internen und externen Prüfung unterzogen. Der Security-Anbieter hat den auf Datenbanken spezialisierten Sicherheitsexperten David Litchfield mit der Aufklärung des Vorfalls beauftragt. Er habe bereits derartige Fälle untersucht, so Litchfield in einem E-Mail-Interview. "Meist gibt es dabei keine Probleme. Schwieriger - wenn auch keinesfalls unmöglich - wird es natürlich, wenn ein Angreifer seine Spuren zu verwischen versucht."

Wie Kaspersky mittlerweile in einem Hinweis auf seiner Website betont, handelte es sich bei dem Vorfall um einen erfolglosen Einbruchsversuch auf der offiziellen Seite seiner US-amerikanischen Niederlassung. Entgegen anders lautender Behauptungen sei es den Hackern nicht gelungen, auf dort gespeicherte Nutzerdaten zuzugreifen. Die lediglich in einem Site-Bereich (usa.kaspersky.com/support) festgestellte Schwachstelle sei kurze Zeit nach ihrer Entdeckung behoben worden und betreffe ansonsten keine andere Internet-Ressource von Kaspersky.

Kaspersky scheint nicht der einzige Sicherheitsanbieter zu sein, den sich Blogger "unu" vorgeknöpft hat. Laut einem weiteren Eintrag auf Hackersblog.org will sich dieser auf einer portugiesischen Web-Seite von Wettbewerber BitDefender ebenfalls mittels SQL-Injection Zugriff auf sensible Kundeninformationen verschafft haben. Allerdings handelt es sich dabei nicht um eine von dem Antivirenhersteller selbst, sondern von einem Reseller betreute Site.