Kaspersky Says Web Hack 'had niet moeten gebeuren'

Het is het ergste dat kan een computerbeveiligingsbedrijf overkomen: dit weekend werd het Kaspersky Lab in Moskou gehackt.

Een hacker, die zichzelf alleen als Unu identificeerde, zei dat hij in staat was om een ​​deel van het gloednieuwe Amerikaanse supportweb van het bedrijf aan te boren website door te profiteren van een fout in de programmering van de site.

Tijdens een telefonische vergadering met verslaggevers zei Kaspersky Senior Research Engineer Roel Schouwenberg dat hoewel hij van mening is dat de hacker geen toegang heeft tot klantinformatie zoals e-mailadressen, de hack zou het imago van het bedrijf schaden. "Dit is niet goed voor een bedrijf, en zeker niet voor een bedrijf dat zich met beveiliging bezighoudt," zei hij. "Dit had niet mogen gebeuren, en we doen nu alles wat binnen onze macht ligt om de forensics in deze zaak te doen en om te voorkomen dat dit ooit nog een keer gebeurt." <

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Schouwenberg beschuldigde de breuk van een programmeerfout in de programmering die werd geïntroduceerd in een herontwerp van de ondersteuningssite van 29 januari, wat betekent dat de bug ongeveer 10 dagen live was op de site van Kaspersky. "Er is iets misgegaan in ons proces voor het herzien van interne code", zei hij.

Deze fout liet de ondersteuningssite van Kaspersky kwetsbaar voor een zogenaamde SQL-injectie-aanval, die de hacker toegang had kunnen geven tot ongeveer 2.500 e-mailadressen van klanten en tot misschien 25.000 productactiveringscodes.

Bij een SQL-injectieaanval maakt de hacker gebruik van fouten in webprogramma's die databases bevragen. Het gaat erom een ​​manier te vinden om opdrachten uit te voeren binnen de databases en toegang tot informatie die normaal zou worden beschermd.

Code op de website van Kaspersky wordt doorgaans onderworpen aan een interne en externe audit. Kaspersky heeft database-expert David Litchfield ingehuurd om het incident te onderzoeken en verwacht binnen 24 uur meer over de hack te kunnen melden, aldus het bedrijf.

In een e-mailinterview zei Litchfield dat hij dit soort onderzoek heeft gedaan voor. "Normaal gesproken zijn er geen problemen met dergelijke onderzoeken. Natuurlijk kan een aanvaller proberen zijn tracks te verbergen, wat het moeilijker maakt - maar in geen geval onmogelijk." Unu heeft Kaspersky op de hoogte gebracht van de bug via e-mail mail op vrijdag, en vervolgens een uur later gehackt op de site. Kaspersky zag die e-mail pas veel later, maar het bedrijf realiseerde zich dat het op zaterdag rond het middaguur in Eastern Time was gehackt, zei Schouwenberg. Slechts 15 minuten later keerde Kaspersky terug naar een oudere versie van de ondersteunde sitecode, die de fout niet bevatte.

Kaspersky is van mening dat Unu uit Roemenië komt, maar geen juridische actie onderneemt in de zaak. De Roemeense autoriteiten hebben beperkte middelen en zullen het incident waarschijnlijk niet verder onderzoeken, stelde Schouwenberg in een e-mail. Er zijn nog ergere aanslagen geweest. In feite is de Kaspersky-hack "nauwelijks nog het vermelden waard" naast grote beveiligingsinbreuken, zoals de recente hack die criminelen toegang gaf tot systemen bij creditcardprocessor Heartland Payment Systems, zei Paul Roberts, een analist bij The 451 Group. "Maar Kaspersky is een beveiligingsbedrijf", zei hij via een chatbericht. "Er is hier dus een veel groter reputatierisico dan bijvoorbeeld in een supermarkt."