MySQL.com, официальный сайт системы управления базами данных, подвергся
сегодня атаке во время которой хакеры использовали SQL-инъекцию для получения
доступа к полному списку пользовательских имен и паролей сайта.
Новости об атаке всплыли на поверхность когда злоумышленники опубликовали
детали взлома в списке рассылки FullDisclosure, обнародовав содержание таблиц с
базами данных, включавших информацию о клиентах и сотрудниках, а также небольшую
выборку пользовательских логинов и хешей паролей.
Находясь во владениях компании Oracle, MySQL используется миллионами сайтов
для хранения и передачи информации, а также некоторыми наиболее популярными
онлайн сервисами и платформами, включая WordPress и Joomla. Сегодняшняя атака
была осуществлена при помощи "слепой
SQL-инъекции" и была направлена на MySQL.com, MySQL.fr, MySQL.de и MySQL.it,
а также два домена Sun.
Naked Security сообщает, что пароли было очень легко взломать, причем пароль
директора по продукции WordPress состоял всего из четырех знаков.
Оказывается, что возможность осуществления атак возникла не в результате
уязвимостей в самом ПО MySQL, а вследствие ошибок в работе сайта.
MySQL не предоставил комментариев по поводу взлома.