【駭客揭露賽門鐵克網站資料隱碼漏洞】

tan2818

【駭客揭露賽門鐵克網站資料隱碼漏洞】

 

新聞來源:iThome/文:陳曉莉 (編譯) 2009-11-26

 

Unu表示他只是企圖喚起資安業者重視網站安全，他並未儲存或濫用所存取的任何資料。

 

根據英國媒體The Register報導，一名來自羅馬尼亞的駭客Unu於本周展示如何利用駭客工具及Blind SQL Injection漏洞入侵資安業者賽門鐵克（Symantec）的伺服器，這也讓賽鐵克伺服器上所儲存的客戶資料有洩露的風險。

 

Unu展示如何利用現成的Pangolin及sqlmap等駭客工具及資料隱碼漏洞侵入賽門鐵克網站，以及存取包含客戶紀錄、密碼，及產品金鑰等資料的伺服器硬碟。

 

eWeek引用賽門鐵克說法指出，在pcd.symantec.com網站上存有資料隱碼漏洞，該站主要支援日本及南韓市場的Norton客戶，該事件並不影響該公司其他市場的用戶，也不會影響Norton產品的安全性與使用。

 

目前賽門鐵克仍在調查。

 

資安業者Damballa研究副總裁Gunter Ollmann在部落格中表示，Blind SQL Injection並不是一個特別複雜的漏洞，但它通常是密集式的攻擊，所以很容易引起注意，不過現在有許多現成且強大的工具可用，這些工具及功能已成為殭屍網路的標準，意味著相關漏洞的攻擊以及資料庫的存取可在數分鐘內完成，讓業者來不及回應攻擊行動而無法避免資料外洩。

 

Unu今年2月也曾揭露巴斯基網站的資料隱碼漏洞，不過Unu表示他只是企圖喚起資安業者重視網站安全，他並未儲存或濫用所存取的任何資料。