W niedzielę MySQL stał się ofiarą ataku typu blind SQL injection*. Włamywacze uzyskali dostęp do całej bazy danych obsługującej witrynę mysql.com włączając w to loginy i hashe haseł klientów.
Upublicznione zostały hasła do kont pracowników i blogów na blogs.mysql.com.
Tablica users ujawniła karygodne praktyki stosowane przez firmę:
– brak filtracji (%) po adresie IP dla kont z wysokimi uprawnieniami,
– słabe hasła: 4 cyfry miało hasło członka zarządu,
– stosowanie md5 jako metody hashowania haseł
Jak do tej pory MySQL nie ustosunkował się do zdarzenia.
Atak na MySQL kontynuuje niechlubną serię włamań na firmy ściśle związane z bezpieczeństwem. Poprzednio włamywaczom uległy RSA – producent tokenów SecureID, Comodo – popularna firma zarządzająca certyfikatami SSL i HBGary – firma współpracująca z rządem USA.
* [i]blind SQL injection[/i] to atak polegający na wysłaniu szkodliwego zapytania SQL, które w rezultacie nie zwraca potwierdzenia, że atak się powiódł.
Źródło: hackerregiment.com
