Rumänischer Sicherheitsforscher bricht in Symantec-Website ein

Ein rumänischer Sicherheitsforscher hat nach eigenen Angaben eine Sicherheitslücke in einer Symantec-Website gefunden. Durch eine sogenannte blinde SQL-Injection, die keine Fehlermeldung zurückliefert, sei es ihm gelungen, Zugriff auf Kundeninformationen und Passwörter zu erlangen.

In seinem Blog schreibt der Forscher, der sich selbst „Unu“ nennt, Symantec habe Passwörter von Kunden und Mitarbeitern unverschlüsselt in einer SQL-Datenbank gespeichert. Zudem habe er E-Mail-Adressen von Kunden mit zugehörigen Nutzernamen und 122.152 Seriennummern von registrierten Symantec-Produkten gefunden. Die Datenbank enthalte darüber hinaus auch Kreditkartendaten.

„Ich habe keine Daten gespeichert und nichts von dem, was ich gefunden habe, missbraucht“, heißt es weiter in dem Blogeintrag. Sein Ziel sei es, vor Schwachstellen zu warnen und größeres Sicherheitsbewusstsein zu schaffen, so Unu.

Symantec hat den Angriff und die Lücke bestätigt. Das inzwischen geschlossene Leck betraf die Website pcd.symantec.com, worüber Endkunden-Support für Norton-Produkte in Japan und Südkorea angeboten wird. Nach Angaben des Unternehmens waren Kunden in anderen Ländern oder die Sicherheit seiner Produkte zu keinem Zeitpunkt gefährdet.

Wie The Register berichtet, hat Unu schon früher Lücken in Websites aufgedeckt, etwa den Internetauftritten von Kaspersky, F-Secure und des britischen Parlaments.

Laut Gunter Ollmann, Vizepräsident des Sicherheitsunternehmens Damballa, können auch Botnetze die von Unu genutzte Methode verwenden. Dann sei es nur eine Frage von Minuten, bis Schwachstellen ausgenutzt und Daten aus Datenbanken gestohlen würden. Sicherheitsteams könnten in dem Fall nicht mehr reagieren, um einen Angriff und den Verlust von Personendaten zu unterbinden.