Slechts twee weken na de vondst van een beveiligingslek op de website van Kaspersky is er een nieuw lek gevonden.

Ditmaal gaat het om een cross-site scripting-lek op Kaspersky.com waardoor aanvallers phishingaanvallen en creditcardgegevens kunnen stelen, zo vertelt Ronald van den Heetkamp tegenover de website Security.NL.

Hij vindt het belachelijk dat er anno 2009 zulke lekken in de website van een beveiligingsfabrikant zitten. "Zeker nadat het vertelde dat alles dicht was," zo laat hij weten.

Volgens hem had Kaspersky zulk soort lekken met een uurtje scannen kunnen vinden. Hij zegt ook dat het SQL-lek gebruikt had kunnen worden om activatiesleutels van Kaspersky te stelen. "Misschien komt men zo wel aan die illegale Kaspersky-sleutels."

Een screenshot van dit nieuwe lek is te vinden op het forum van sla.ckers. Een van de forumleden merkt dat het om virusbestrijders gaat die alleen gespecialiseerd zijn in virusscanners. "Ze denken alleen aan de beveiliging die ze kennen. Geef ze een virus en ze vinden het, maar als het gaat om beveiliging van een webapplicatie dan weten ze daar niets vanaf."

Van den Heetkamp acht het goed mogelijk dat er nog meer lekken in de website van Kaspersky zitten. Kaspersky heeft op 9 februari laten weten een expert te hebben ingehuurd om de website te analyseren.