Een hacker, die schuilgaat onder de naam ‘unu’ heeft afgelopen weekend in een posting op HackersBlog laten weten dat hij de database van de Amerikaanse website van Kaspersky heeft gehackt middels een zogenaamd SQL-injectie.

Unu liet afgelopen zaterdag in een bericht op HackersBlog weten dat hij de database van Kaspersky had gehackt door gebruik te maken van een aangepaste URL, een methode die beter bekend is als een SQL injectie. Hoewel unu geen gevoelige informatie bekend wilde maken, publiceerde hij wel enkele screenshots en de namen van de tabellen in de database.

Een tweetal beveiligingsexperts bevestigden de echtheid van de hackpoging tegenover The Register. "Dit ziet er behoorlijk echt uit. De gebruikte URL op een van de screenshots wordt gebruikt om het verzoek aan de database voor het genereren van de pagina aan te passen. Door de URL aan te passen kunnen de gegevens in de database uitgelezen worden. Game over", aldus Thomas Ptacek van Matasano. Ook Roger Thompson, chief research officer bij concurrent AVG liet tegenover The Register weten dat het bewijs overtuigend leek, maar dat hij het niet met zekerheid kon zeggen.

Met een succesvolle hackpoging zou overigens niet alleen de database uitgelezen kunnen worden, maar zouden ook de links naar downloads van Kaspersky omgeleid kunnen worden naar nepversies die virussen en trojans bevatten. Een andere mogelijkheid is dat een hacker aankopen kan doen bij Kaspersky zonder ervoor te betalen.

Kaspersky wilde in eerste instantie geen commentaar geven, maar kwam gisterenavond met een verklaring. Volgens de producent van beveiligingsproducten is het lek snel na de post van unu opgelost. "Op zaterdag 7 februari 2009 is er een lek ontdekt in een subsectie van de website usa.kaspersky.com, nadat een hacker probeerde een aanval uit te voeren op de site. De site was slechts voor een korte periode kwetsbaar en na de constatering van het lek hebben we direct actie ondernemen en het bewuste deel van de website offline gehaald. Het lek was 30 minuten na constatering gedicht. Het lek was niet kritiek en er zijn geen gegevens ontvreemd", aldus Kaspersky in een officiële verklaring.

Maar volgens administrator Tocsixu van HackersBlog was het lek al veel eerder bekend bij Kaspersky. Hacker unu zou het lek al veel eerder ontdekt hebben en zijn constateringen via diverse mail-adressen van Kaspersky gemeld hebben. Omdat hij geen enkele reactie kreeg van Kaspersky besloot unu zijn constateringen openbaar te maken. Hoewel Tocsixu erkent dat er bij de hackpoging geen gegevens zijn ontvreemd vind hij dat Kaspersky zich er te makkelijk vanaf maakt door dat in de verklaring te melden.

"Dit lek had absoluut kritiek kunnen zijn als het door iemand met slechte intenties gebruikt zou zijn, omdat er gevoelige informatie uit de database gehaald zou kunnen worden, waaronder gebruikersnamen, wachtwoorden en e-mail-adressen. Er zijn inderdaad geen gegevens gestolen, maar dat is niet onze of Unu’s intentie. Kaspersky-gebruikers hoeven zich daar dus geen zorgen over te maken", aldus Tocsixu.

Kaspersky wilde niet reageren op de opmerkingen van Tocsixu.