MySQL.com attaccato con una SQL Injection

di Giuseppe Cutrone

scritto il

MySQL.com è stato “bucato” da alcuni cracker in maniera quasi paradossale: il sito è stato infatti attaccato tramite una SQL Injection, mediante la quale sono stati portati in pubblico i dati immagazzinati nel database.

I cracker sono così riusciti a mettere in luce la debolezza del sito, rivelando inoltre l’assoluta inadeguatezza degli accorgimenti per la sicurezza utilizzati, come ad esempio le password, costituite da stringhe basilari come “qa” o al massimo di quattro cifre, come quella usata dal “Director of Product Management”.

Il dump contenente user e password utilizzate è stato pubblicato sulla Full Disclosure Mailing List, ma va precisato come il sito non sia stato violato sfruttando una vulnerabilità di MySQL, bensì facendo perno su alcuni errori commessi in fase di implementazione del database stesso.

A finire nel mirino è stato anche il sito della capogruppo Sun/Oracle, dal quale sono emerse email e tabelle.