Hackers conseguiram obter dados pessoais de usuários de um site português parceiro da BitDefender. Este é o segundo ataque nos últimos dias visando empresas de segurança.
Os detalhes foram publicados no hackersblog.org, que publica informações sobre os problemas de segurança e também notifica os operadores do site atacado e não revela dados confidenciais.
Os hackers usaram uma forma de ataque de injeção SQL para revelar informações pessoais e endereços de email. A injeção SQL, um dos tipos de ataques mais comuns, envolve o uso de comandos em formulários baseados na web ou URLs para poder obter dados armazenados nos bancos de dados dos sites.
Uma pesquisa feita pelo Web Application Security Consortium com 31.373 sites mostrou que mais de 25% deles eram vulneráveis aos ataques de injeção SQL e mais de 85% era vulneráveis aos ataques de cross-site scripting.
Imagens publicadas no blog mostram como os hackers foram capazes de visualizar os dados. A BitDefender informou que o site foi tirado do ar depois que a vulnerabilidade foi descoberta. A empresa acredita que os dados expostos não serão usados para propósitos maliciosos e que o ataque visava ilustrar a vulnerabilidade.
Imagens do site atacado:
Mais informações
Alguns tópicos na Área de Segurança do Fórum do BABOO:
Kits de Segurança Free
Updates diários para Softwares de Segurança
Lista de AntiSpywares Suspeitos
Lista atualizada de Programas que contém Malware
