Il sito MySQL.com è stato attaccato dagli hacker nel fine settimana. L'attacco ha sfruttato una SQL injection per aprire le (poche) difese e far uscire i buoi. Gli hacker romeni TinKode e Ne0h del sito Slacker.Ro hanno rivendicato l'attacco. La tecnica della SQL injection consiste nel introdurre codice all'interno di una regolare query parametrizzata facendole eseguire invece delle query totalmente diverse. Gli hacker hanno estratto gli username e le password criptate dal sito e le hanno quindi postate su pastebin.com. A questo punto è stato un gioco da ragazzi risalire alle vere password usando un confronto tra le password criptate e un dizionario di hash di parole comuni. Con questo tipo di approccio si è scoperto che il product manager di WordPress utilizza una passowrd formata da 4 numeri per i servizi forniti da MySQL. Il sito MySQL offre alle aziende, software di gestione database open source e servizi annessi. Ci sono tecniche per prevenire che gli attacchi con SQL injection e per evitare che questo tipo di trucchetti possano permettere a malintezionati il furto di dati sensibili. Pratiche di sicurezza che nel caso di MySLQ.com hanno lasciato molto a desiderare. Inoltre, secondo quanto lasciato intendere da XSSed.com, il sito MySQL. com è da gennaio che risulta vulnerabile agli attacchi XSS.
Fonte: http://www.pc-facile.com/news/mysql_hacker/69297.htm
Possibile che il team di Mysql ( un leader nel suo settore ) sia stato così leggero nel realizzare le modalità di autenticazione del proprio sito istituzionale?
A quanto pare la risposta è si.