10:00
26/5/2010

Na naszą skrzynkę kontaktową otrzymaliśmy fragment bazy danych serwisu Kasperksylab.pl. Włamywaczom za pomocą ataku SQL injection udało się dostać m.in. do kodów promocyjnych, ale najprawdopodobniej mają dostęp do wszystkich danych gromadzonych przez serwis. Poniżej odpowiedź kasperskylab.pl na nasze pytania związane z atakiem.

Atak na Kasperskylab.pl (SQL injection)

Anonimowy e-mail informujący nas o możliwości ataku na kasperskylab.pl zawierał m.in. poniższą informację:

GET column: concat(reg_code,0x3a,was_used) table:kl_promocja_kody_commercial

oraz 50 kodów wyciągniętych z bazy pasujących do tego formatu (“xxx” zamazaliśmy fragmenty):

xxx3PKI352QI:0
D25JU72SCxxx:0
xxxKTVSTIVLX:0

Na nasze pytania związane z atakiem odpowiada Marek Markowski z serwisu kasperskylab.pl:

Czy wiedzą Państwo gdzie dokładnie znajdował się błąd i kto odpowiada za jego wprowadzenie?

Chciałbym zwrócić uwagę na to, że strona www.kasperskylab.pl jest prowadzona przez Firmę Marken Systemy Antywirusowe i nie jest oficjalnym portalem firmy Kaspersky Lab. Poza nazwą i prezentowanymi treściami nie jest ona w żaden sposób powiązana z Kaspersky Lab. Jako firma handlowa wykorzystujemy ten portal (jak i inne nieoficjalne portale) do własnych działań marketingowych wspierających naszą sprzedaż. Błąd leży po stronie źle skonstruowanego skryptu, który został umieszczony na tej stronie przez jednego z pracowników naszej Firmy.

Czy w Państwa opinii zacytowany błąd jest poważny? Jakie informacje oprócz kodów wpadły (mogły wpaść) w ręce atakujących? Czy dane osób, które korzystały z Państwa platformy (dane osobowe, numery kart płatniczych, etc.) też zostały przejęte i czy są Państwo w stanie potwierdzić, że ktoś już skorzystał z wykradzionych kodów?

Każdy tego typu błąd, który pozwala na dostęp do nieudostępnianych publicznie danych, można oczywiście traktować jako poważny. W tym wypadku dane, do których osoba “atakująca” mogła uzyskać dostęp nie były danymi newralgicznymi, dlatego nie uważamy aby błąd był krytyczny. Były to wewnętrzne kody rejestracyjne wykorzystywane w akcjach marketingowych prowadzonych przez firmę Marken i zachęcających do testowania oprogramowania Kaspersky Lab. Nie były to w żadnym wypadku komercyjne kody aktywacyjne do tych produktów. Natomiast nie jesteśmy w stanie potwierdzić faktu wykorzystania tych kodów, choć w świetle powyższej wypowiedzi nie ma to większego znaczenia. Cały czas dokładamy starań, aby tworzone przez nas serwisy były na bieżąco aktualizowane, dlatego powyższe niedopatrzenie zostanie usunięte w najbliższym czasie.

Obecnie strona kasperskylab.pl zmieniła swój wygląd — zakładamy więc, że doszło i do zmiany kodu CMS-a:

Dawny wygląd strony KasperskyLab.pl

Tutaj Cache z Google (niestety bez grafiki).

Wszystkim weryfikatorom doniesień prasowych z dziedziny S:> przypominamy, że ataki SQL injection podpadaja pod paragraf 267 kodeksu karnego:

Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

P.S. Wygląda na to, że dorobiliśmy się w Polsce własnego TinKode’a :-) TinKode razem z Unu to dwaj rumuńscy hackerzy, którzy przeprowadzili szereg ataków SQL injection na strony znanych firm. Ich ofiarą padły m.in. NASA, Apple, Symantec, IBM …a także Kaspersky.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

10 komentarzy

Dodaj komentarz
  1. Chciałem napisać “tak to jest jak się zatrudnia programistów ‘po taniości”, ale jednak znalezienie programersa który umie pisać chociaż w miare bezpieczny kod nie jest łatwe. Chociaż akurat przez SQLi jest się łatwo uchronić ;]

  2. A takie praktyki jak robi ta firma sa w ogole legalne? przeciez oni prawie ze udawali strone kasperskiego, kolorystyka, wygladem. ciekawe ilu jeleni dalo sie nabrac.

  3. Wszystko fajnie, ale jest to jedynie strona lokalnego dystrybutora, praktycznie nic z samym producentem nie mająca wspólnego, ot zwykły sklep interentowy. Więc nie ma w tym raczej żadnej sensacji…

  4. Sql injection zostal przez sąd uznany za dozwolony :)

    Przepis ten znalazł zastosowanie w sprawie Mateusza M. Został on oskarżony o zastosowanie techniki określanej jako SQL injection, w związku z artykułem 267 § 1. Jednakże (co w pełni popieram) Sąd Rejonowy w Głogowie VI Wydział Grodzki wyrokiem z dnia 11 sierpnia 2008 r., sygnatura akt VI K 849/07, uznał Mateusza M. za niewinnego.

    zrodlo: http://rychlicki.net/zagadnienie/prawo-rp/art-267-kk/

    Wiec jak to jest…

  5. mojtek: oficjalny czy nie, kodziki są kodzikami :] a zaloze sie ze wiekszosc firm i tak bierze avki od resellerow wiec pewnie kilkaset ciekawych nazwisk/telefonow jest w bazie i np. konkurencja od eseta czy fsecura mialaby wystawione do kogo dzwonic ;] ale co ja tam moge wiedziec, lol ;]

  6. @XANI – to nie kwestia “taniości”
    Najbardziej destrukcyjnym czynnikiem w polskim szambie IT
    są terminy czyli chciwość zarządu :)
    SQLI nie podpada pod paragraf 267 i mam zamiar to udowodnić w sądzie :)

  7. + wysoka liczba “eskpertów” programistów (wejdź sobie na zlecenia.net) to zobaczysz
    skąd się biorą błędy SQLI – siły rynku
    Beznadziejne warunki pracy czyli to samo co sprawiło że Tupo wylądował w lesie

  8. “Sql injection zostal przez sąd uznany za dozwolony :)” – dla tej konkretnej sprawy. Tu nie obowiązuje precedens więc wszystko zależy od konkretnej sytuacji.

  9. Miejmy nadzieje, że ten anonimowy mail nie jest produkcją pracownika obecnego lub byłego firmy. Często się zdarza, że pracownicy w firmach zwłaszcza tych źle zrządzanych bywają złośliwi wobec pracodawcy, bądź chcą wygryźć kogoś z pracy. No cóż jeżeli tak jest to jeszcze usłyszymy o nich.

  10. Moim zdaniem jeżeli ktoś rozpowszechnia poufne informacje bądź wykorzystałby takie kody to wtedy jest mowa o przestępstwie. Jeżeli jest błąd w stronie, a ja go znajdę to nie jest to nielegalne wejście. Niczego nie musiałem łamać, po prostu znalazłem inne wejście.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: