Un pirata informático ha irrumpido en una base de datos de Barracuda Networks y obtuvo los nombres y direcciones de correo electrónico de algunos de los empleados de la empresa de seguridad, de los socios de canal y de clientes potenciales.
Por Robert McMillan
IDG News Service (Oficina de San Francisco)
El hacker, que se hace llamar Fdf, ha publicado la prueba de su ataque a la web el lunes, mostrando direcciones de correo electrónico de los empleados de la empresa y los nombres, direcciones de correo electrónico, las afiliaciones de empresas y números de teléfono de las ventas registradas por los socios de canal de la compañía.
El ataque comenzó la noche del sábado y se puso en marcha en un momento en el que el cortafuegos Barracuda Web Application Firewall, que se supone protege el sitio, había sido puesto fuera de línea por mantenimiento, según dijo Barracuda. Después de un par de horas de exploración, el hacker encontró una falla de inyección SQL – un error común de programación web – en un script utilizado para mostrar notas preliminares de estudio de casos de los clientes. Ese error lo metió en un una base de datos que la empresa utiliza para su programa de mercadeo y desarrollo de las ventas.
Barracuda no almacena la información financiera de los clientes en la base de datos, dijo la compañía.
Aunque es vergonzoso cuando las empresas de seguridad son “hackeadas”, pasa a menudo.
El mes pasado, el grupo EMC RSA dijo que alguien había irrumpido en sus redes y obtenido información que podría comprometer sus productos SecurID. En febrero la consultora de seguridad HBGary Federal, fue asaltada, y decenas de miles de mensajes de la empresa de correo electrónico fueron publicados en Internet.
Además de señalar que utilizó una técnica de inyección SQL, FDF no dijo mucho sobre el ataque en su publicación en Internet, pero él dio un grito [de saludo] a algunos de sus amigos y “todos los piratas de Malasia”. La noticia del incidente fue reportado por primera vez el lunes por The Register.