Udany atak SQL injection na stronę MySQL.com

mysql
W niedzielę MySQL stał się ofiarą ataku typu blind SQL injection*. Włamywacze uzyskali dostęp do całej bazy danych obsługującej witrynę mysql.com włączając w to loginy i hashe haseł klientów.

Upublicznione zostały hasła do kont pracowników i blogów na blogs.mysql.com.

Tablica users ujawniła karygodne praktyki stosowane przez firmę:

- brak filtracji (%) po adresie IP dla kont z wysokimi uprawnieniami,
- słabe hasła: 4 cyfry miało hasło członka zarządu,
- stosowanie md5 jako metody hashowania haseł

Jak do tej pory MySQL nie ustosunkował się do zdarzenia.

Atak na MySQL kontynuuje niechlubną serię włamań na firmy ściśle związane z bezpieczeństwem. Poprzednio włamywaczom uległy RSA - producent tokenów SecureID, Comodo - popularna firma zarządzająca certyfikatami SSL i HBGary - firma współpracująca z rządem USA.

* blind SQL injection to atak polegający na wysłaniu szkodliwego zapytania SQL, które w rezultacie nie zwraca potwierdzenia, że atak się powiódł.

Źródło: hackerregiment.com

Odpowiedzi

No Avatar
Anonim (niezweryfikowany) on 29.04.2011, 20:42

Tak powazna firma a takie bledy haslo 4 cyfry ^ ^ md5 to dzieci w googlach rozkodowują

No Avatar
Anonim (niezweryfikowany) on 16.06.2011, 16:36

md5 w takiej powaznej firmie i 4-ro cyfrowe hasla? Rany, na to nawet nie trzeba hakera

Odpowiedz

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
Realizacja: SIPLEX Studio