Vdor v MySQL.com z vrivanjem SQL

Včeraj je bila stran MySQL.com uspešno napadena s tehniko vrivanja SQL (SQL injection), je bilo razkrito na listi Full Disclosure. Hekerji so na splet že priobčili uporabniška imena in zgostitve gesel (hash), ki jih najdete na odlagališču pastebin.com.

Izkazalo se je, da je ogromno gesel prekratkih in preveč preprostih (recimo qa in podobno). Izjema ni niti direktor WordPressa, ki je imel za geslo štirimestno število. Žalostno je, da vdor ni posledica napada neke obskurne ranljivosti, ampak gre za osnovno tehniko, ki ima tudi relativno enostavno zaščito.

Poleg tega je bili napadeno tudi podjetje Oracle, mati MySQL-a, od koder so uspeli odtujiti tabele in elektronske naslove, gesel pa naj ne bi bili. Tudi tod je bil vdor izveden na enak način.

Sophos poroča še, da to ni edina huda ranljivost, ki jo ima stran MySQL.com. Že od januarja je znano, da je MySQL.com ranljiv tudi za napad XSS in da ranljivost še ni odpravljena. Možno je, da je bila to v tem napadu tudi sekundarna pot.