2009年11月27日 星期五

駭客揭露賽門鐵克網站資料隱碼漏洞

新聞來源: ITHOME


Unu表示他只是企圖喚起資安業者重視網站安全,他並未儲存或濫用所存取的任何資料。

根據英國媒體The Register報導,一名來自羅馬尼亞的駭客Unu於本周展示如何利用駭客工具及Blind SQL Injection漏洞入侵資安業者賽門鐵克(Symantec)的伺服器,這也讓賽鐵克伺服器上所儲存的客戶資料有洩露的風險。

Unu展示如何利用現成的Pangolin及sqlmap等駭客工具及資料隱碼漏洞侵入賽門鐵克網站,以及存取包含客戶紀錄、密碼,及產品金鑰等資料的伺服器硬碟。

eWeek引用賽門鐵克說法指出,在pcd.symantec.com網站上存有資料隱碼漏洞,該站主要支援日本及南韓市場的Norton客戶,該事件並不影響該公司其他市場的用戶,也不會影響Norton產品的安全性與使用。目前賽門鐵克仍在調查。

資安業者Damballa研究副總裁Gunter Ollmann在部落格中表示,Blind SQL Injection並不是一個特別複雜的漏洞,但它通常是密集式的攻擊,所以很容易引起注意,不過現在有許多現成且強大的工具可用,這些工具及功能已成為殭屍網路的標準,意味著相關漏洞的攻擊以及資料庫的存取可在數分鐘內完成,讓業者來不及回應攻擊行動而無法避免資料外洩。

Unu今年2月也曾揭露巴斯基網站的資料隱碼漏洞,不過Unu表示他只是企圖喚起資安業者重視網站安全,他並未儲存或濫用所存取的任何資料。

沒有留言:

張貼留言