Nokias utviklerforum ble mandag stengt, etter at et datainnbrudd i forrige uke viste seg å være mer alvorlig enn først antatt.
En hacker brøt seg inn og vandaliserte nettstedet, blant annet ved å etterlate en melding som mobbet mobilprodusenten for dårlige sikkerhetsrutiner.
I en melding til brukerne bekrefter Nokia at angrepet utnyttet en sårbarhet i forumprogramvaren, og at ble utført med innsprøyting av SQL-kode.
SQL-innsprøyting er en klassisk og utbredt angrepsmetode, der kode mates inn i gjennom URL-strenger eller skjemafelter. Den underliggende webløsningen og databasen kan typisk la seg manipulere hvis inndata ikke blir tilstrekkelig validert.
Etterforskning skal senere ha avdekket at databasen med medlemmenes brukeropplysninger ble tappet i hendelsen.
- Opprinnelig trodde vi at bare en liten andel av brukerne ble berørt, men det viser seg at omfanget var langt større, opplyser selskapet. Hvor mye større sier de ingenting om.
Den aktuelle tabellen skal ha innholdt e-postadresser, og i noen tilfeller (under syv prosent ifølge Nokia) også fødselsdatoer, brukernavn til tjenester som Skype, MSN, ICQ, AIM og Yahoo. Den skal ikke ha inneholdt mer sensitive opplysninger som passord eller kredittkortopplysninger, påpekes det.
Ingen andre Nokia-kontoer er berørt av hendelsen, slår selskapet fast. Samtidig beklager de hendelsen.
Nokia sier de ikke er kjent med misbruk av dataene som ble tappet, og tror slikt misbruk i verste fall er begrenset til spamming av medlemmenes e-postadresser.
I skrivende stund er utviklerforumet fremdeles nede, men det skal være av hensyn til sikkerheten. Ifølge Nokia tas det grep for å utbedre sikkerheten, og selskapet håper å kunne åpne tjenesten igjen snart.
