卡巴斯基官網曝SQL注入漏洞

據一位黑客在博客中透露，卡巴斯基的一個安全過失暴露了大量的有關卡巴斯基產品和客戶的專有信息。這個博客發表了卡巴斯基網站的截屏圖像和其它細節以支持他的說法。

這個黑客在星期六（2月7日）發表的博客中稱，一個簡單的SQL注入攻擊就能夠訪問卡巴斯基的包含用戶、激活代碼、安全漏洞列表、管理員和購買等信息的數據庫。這個黑客稱，對一個URL地址進行簡單地修改就能夠訪問這個網站的整個數據庫。這個截屏圖像顯示這個攻擊主要集中在卡巴斯基美國公司的技術支持和知識庫。這個網站包含的名字有150個表格。

卡巴斯基不願意對次發表評論。但是，兩位評估了這些證據的安全專家稱，這個說法是有說服力的。

安全提供商Matasano的研究員ThomasPtacek在這個博客發表幾個小時之後在即時消息采訪中說，我認為這看起來像是真實的。他指出，截屏圖像中的地址欄顯示的usa.kaspersky.com和地址欄右邊的文本內容“concat_ws(0x3a,ver是用於生成這個網頁的修改數據庫的請求。其中一個請求能夠提取數據庫中專有的數據。

殺毒軟件公司AVG的首席研究官RogerThompson也同意這個觀點。他說，我為卡巴斯基感到遺憾。我不能說這是肯定的。但是，這看起來是真實的。

卡巴斯基發言人不願意立即對此發表評論。卡巴斯基發言人在加州時間2月7日晚上發出的電子郵件中稱，我們現在還不能立即發表評論。給我們一些時間，我們將在明天早上給你答復。