Tietoturva

Myös F-Securen sivuilla sql-aukko

Julkaistu: , Päivitetty:

Ensin kompuroi Kaspersky, sitten Bitdefender. Nyt oli suomalaisen F-Securen vuoro löytää sivuiltaan sql-haavoittuvuus.
Nyt myös tietoturvayhtiö F-Secure verkkosivuilta on löydetty sql-haavoittuvuus.

HackersBlog-sivun mukaan suomalaisen tietoturvayhtiön sivuilta ei ollut mahdollista kalastella erityisen herkkiä tietoja.

Tunkeutujat pystyivät onkimaan F-Securen tietokannasta vain virusten aktiivisuuteen liittyviä tilastoja, joita on mahdollista katsoa julkisesti muutenkin.

Haavoittuvuus ei sijainnut F-Securen pääsivulla vaan stats.f-secure.com-osoitteessa.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Netcraft-palvelun mukaan sivustoa pyörittäneellä palvelimella käytettiin Windows Server 2003 -käyttöjärjestelmää ja IIS 6.0 -alustaa. F-Securesta kerrotaan, että alustana on Microsoft SQL Server 2000.

Kaspersky ja Bitdefender
nolattiin jo


Samainen blogi julkaisi viime viikonloppuna merkinnän, jossa kerrottiin venäläisen tietoturvayhtiö Kaspersky Labin sivujen haavoittuvuudesta.

Osansa sql-haavoittuvuuksista on saanut myös tietoturvayhtiö Bitdefender, jonka tietokannasta oli mahdollista urkkia muun muassa asiakastietoja.

Sql-haavoittuvuudet ovat tietoturvayhtiöiden kannalta kiusallisia. Yksinkertaistettuna kyse on usein siitä, että haavoittuneen sivuston syötteentarkastus on toteutettu puutteellisesti. 

Yhtiön edustaja myönsi saksalaiselle viikkolehti Spiegelille sql-haavoittuvuuden nakertavan yhtiön uskottavuutta, vaikka sen avulla ei päästykään käsiksi arkaluontoisiin tietoihin.

– Nolo juttu, tutkimusjohtaja Mikko Hyppönen tunnustaa.

– En tiedä onko normaaliyrityksillä toivoakaan huolehtia siitä, että kaikki heidän järjestelmänsä ovat turvassa, jos edes tietoturvayhtiöt eivät saa omiaan kuntoon.

– En tiedä onko tunkeutujilla sen erityisempää motiivia. Se on tietysti sitä makeampaa, kun pääsee tietoturvayrityksen järjestelmiin läpi.

F-Secure kommentoi haavoittuvuutta myös blogissaan.

– Yhdellä haittaohjelmatilastoja keräävistä palvelimistamme oli sivu, joka ei kunnolla puhdistanut sisään tulevaa dataa ja oli siten avoin hyökkäykselle. Onneksi käytämme syvää puolustusstrategiaa ja hyökkäys onnistui vain osittain.

– Vaikka meidän täytyy oppia hyökkäyksestä ja vaikka se osoitti, että parannettavaa on, se ei ole mikään maailmanloppu.

Kommentit

    Näytä lisää