Symantec, der er et af verdens største sikkerhedsfirmaer med over 17.500 medarbejdere i mere end 40 lande, mærker nu på egen krop, hvad ringe sikkerhed kan betyde.
På en blog, der tilhører en rumænsk hacker, som kalder sig for "Unu", kan man nemlig finde billeder og data, der viser, at han, har skabt sig komplet adgang til en server hos et af verdens største sikkerhedsfirmaer.
Symantec-serveren indeholder forskellige former for sensitive data, og på bloggen er der skærmbilleder, som viser, hvordan han med lethed klikker sig rundt på drevet hos Symantec.
Blandt informationerne fremviser bloggeren detaljerede oplysninger om indholdet af databaser samt passwords og brugernavne i helt almindelig tekstform på både ansatte i Symantec og brugere af firmaets web-butik.
Og der er stor harme hos hackeren over, hvad der beskrives som Symantecs lemfældige omgang med følsomme oplysninger.
"Jeg var rasende, da jeg så resultatet. Disse brugeres passwords er gemt i klar tekst," skriver han.
Fuld kontrol over Symantec
En sikkerhedsekspert vurderer, at hackeren har haft fuld kontrol over Symantec-serveren.
"Det, vi har set, viser, at hackeren har været helt inde i systemet og bevæget sig rundt på både C- og D-drevet. Det er meget uheldigt, ikke mindst når man er it-sikkerhedsleverandør," siger Peter Kruse fra sikkerhedsfirmaet CSIS.
"Den fejl, der udnyttes af hackeren, er en typisk valideringsfejl, og det bør kontrolleres som standard. Samtidig bør data som eksempelvis passwords som minimum være krypterede."
"Det er flere hovsa'er i denne episode," vurderer han.
Symantec bekræfter hul
Symantecs danske afdeling har ikke lyst til at svare på, hvorfor sikkerheden ikke er på plads.
Her henvises til den nordisk ansvarlige, der igen henviser til en officiel amerikansk udtalelse, der bekræfter et problem, men samtidig forsøger, at gyde olie på vandene.
"En SQL-injektion sårbarhed er blevet identificeret på pcd.symantec.com. Webstedet tager hånd om kundesupport til brugere af Symantecs Norton-mærkede produkter i Japan og Sydkorea. På nuværende tidspunkt mener vi, at denne hændelse ikke påvirker Symantecs kunder andre steder i verden," lyder det fra sikkerhedsfirmaet.
"Denne hændelse får konsekvenser for kundesupport i Japan og Sydkorea, men påvirker ikke sikkerheden og brugen af Symantecs forbrugerprodukter. Symantec er i øjeblikket i færd med at tage hånd om, at webstedet er sikret. Symantec undersøger stadig hændelsen og har ikke yderligere oplysninger at dele på dette tidspunkt," siger firmaets officielle udmelding.
Giver branchen et dårligt rygte
"Det ligner en sjuskefejl. Det er flovt, og skader hele branchen."
Så kontant er dommen over Symantec-fejlen fra Peter Kruse.
"I så stor en virksomhed, bør der være en sikkerhedspolitik, der gælder alle, og det er hovedsædets ansvar, at der leves op til reglerne. Man kan ikke bare sende ansvaret videre til en enkelt region," siger han.
"Det er særligt vigtigt, når man er et sikkerhedsfirma, der tilbyder ydelser, som skal sikre lige præcis denne form for angreb. Når man tilbyder det, må man som minimum tage sin egen medicin," vurderes det.
"En ting er, at der sker en fejl, men det er svært at forholde sig til, at de ikke tager ansvaret på sig og indrømmer uheldet. Det handler ikke kun om Symantec, men om hele branchens rygte."
Det handler om opmærksomhed
På hacker-bloggen er der også en lille hilsen til Symantec:
"Det virker underligt, at en virksomhed som Symantec, der sælger sikkerhedsløsninger som eksempelvis det populære Norton, ønsker at beskytte os, når de ikke er i stand til at beskytte deres egen database."
Den rumænske hacker offentliggjorde i februar oplysninger om en lignende sårbarhed i det russiske antivirus firma Kasperskys system.
Efter eget udsagn er hans hensigt dog ikke at stjæle data.
"Jeg gemmer intet. Mit mål var, og er stadig, at advare. At skabe opmærksomhed," skriver han på sin blog.
