Kaspersky-Website angeblich undicht [Update]

Auf der Website hackersblog.org berichtet ein Teilnehmer mit dem Kürzel "unu" von seinen Erkenntnissen, wie man durch einfache Variation einiger Zeichen in der URL auf Seiten mit sensiblem Inhalt vorstoßen kann. Mit der SQL Injection genannten Technik gelange man an Daten über Kunden, Aktivierungscodes, Fehlerberichte, Administratorennamen und Shops. Zum Beleg hält der Entdecker der Sicherheitslücke einige Screenshots bereit. Dass Programme auf Webservern Eingabedaten nicht ausreichend filtern, ist ein weit verbreitetes Sicherheitsproblem.

Laut Medienberichten halten Sicherheitsexperten die Schilderungen für glaubhaft, so auch Roger Thompson vom Konkurrenten AVG. Kaspersky habe die Vorwürfe zunächst nicht kommentieren wollen und einige Stunden nach Bekanntwerden in einer E-Mail angekündigt, man benötige noch weitere Zeit. Auf Hackersblog rechtfertigte sich einer der Macher für die Veröffentlichung der Sicherheitslücke: Kaspersky brauche sich keine Sorgen zu machen, dass die Leute von hackersblog vertrauliche Dinge verbreiten würden. Man zeige nur mit dem Finger auf große Websites mit Sicherheitsproblemen.

Update:
Inzwischen erreichte heise online hierzu eine offizielle Stellungnahme von Kaspersky: Der Hersteller von Antiviren-Software bestätigt, dass ein Sicherheitsproblem vorlag. Es sei jedoch nur die amerikanische Seite usa.kaspersky.com betroffen. "Für die Webseiten und Server von Kaspersky Lab Central Europe bestand zu keiner Zeit eine Gefahr", beruhigen die AV-Spezialisten. Des weiteren habe man die Sicherheitslücke bereits 30 Minuten nach deren Entdeckung geschlossen. Das Statement enthält auch einige eher zweifelhafte Einschätzungen. So behauptet Kaspersky: "Die Sicherheitslücke war nicht kritisch und keine Daten wurden von der Seite gestohlen."

2. Update:
Nach den PR-Leuten haben nun die involvierten Techniker Informationen veröffentlicht, die etwas mehr Licht in die Angelegenheit bringen. Sie erklären, dass man die einzelnen Angriffschritte aus den Log-Dateien rekonstruieren konnte. Die abgesetzten SQL-Statements haben nur Verwaltungsinformationen aber keine Daten angezeigt. Ausserdem seien keine Statements wie UPDATE,INSERT oder DELETE abgesetzt worden, die Daten modifizieren. (jes)