http://image.onlinedown.net/2009/huajunpc/11/20091211ljq49.jpg

　　据国外媒体报道，黑客利用SQL注入漏洞对马来西亚和新加坡卡巴斯基实验室(Kaspersky Lab)官方网站进行了攻击，全面威胁到网站数据库中的客户信息，产品密钥等其他敏感数据的安全。

　　一位自称为“Unu”的罗马尼亚黑客承认实施了此次入侵。Unu称，他是专门寻找知名IT公司，杀毒软件厂商，银行，新闻媒体或公共机构网站SQL注入漏洞的狂热爱好者。

　　早在今年2月份，Unu就曾利用SQL注入方式向卡巴斯基美国实验室技术支持网站发起攻击（即向该网站的数据库中植入一段恶意代码），并成功侵入客户数据库。事件发生后，卡巴斯基便雇佣了世界级数据库安全专家David Litchfield。

　　据悉，Unu入侵马来西亚和新加坡卡巴斯基网站的方式与上一次基本相似。可见，卡巴斯基的数据库安全应对策略收效甚微。Unu在其博客中表示：“虽然这两个网站有不同的域名，但它们的数据库是相同的，而且都是MySQL数据库。”

　　数据库中包括了诸如用户名，电子邮件，住址，邮政编码，城市，州，国家和加密密码等敏感的客户个人信息。另外，其中还包括了13,000多个Kaspersky Antivirus和Kaspersky Internet Security产品密钥。

　　此次攻击反映了安全软件公司在自身安全方面的严重疏忽。首先，很多MySQL用户可以通过互联网用任何一个IP连接服务器。同时Unu也证明，通过该漏洞泄露的客户密码可以很容易地被解密。

　　Unu指出，卡巴斯基数据库中的网站管理帐户密码已经被加密，这要比赛门铁克以纯文本形式存储做的更好。不过，卡巴斯基的这些密码同样可以被解密，其中一个就是“abc123”。次密码用于四个不同的管理员帐户。

　　据悉，葡萄牙卡巴斯基官方网站最近也被同样方式入侵。

　　相关截图：

http://image.onlinedown.net/2009/huajunpc/11/20091211ljq50.jpg

图（1）

http://image.onlinedown.net/2009/huajunpc/11/20091211ljq51.jpg

图（2）

http://image.onlinedown.net/2009/huajunpc/11/20091211ljq52.jpg

图（3）

http://image.onlinedown.net/2009/huajunpc/11/20091211ljq53.jpg

图（4）

http://image.onlinedown.net/2009/huajunpc/11/20091211ljq54.jpg

图（5）

http://image.onlinedown.net/2009/huajunpc/11/20091211ljq55.jpg

图（6）