Hackers zijn erin geslaagd om via een gat in de beveiliging van de MySQL-website een dump van de database te maken door gebruik te maken van sql-injectie. De MySQL-databasesoftware wordt door veel websites gebruikt.
Dumps van de database van MySQL.com verschenen op de Full Disclosure-mailinglijst en op Pastebin, waarbij onder meer de structuur van de database zichtbaar was, evenals namen, wachtwoordhashes en e-mailadressen van gebruikers. Van sommige gebruikers was ook het daadwerkelijke wachtwoord zichtbaar, dat waarschijnlijk dankzij gebruik van rainbow tables werd achterhaald. Opvallend is dat een hoge manager bij MySQL, Robin Schumacher, een wachtwoord van slechts vier cijfers had.
De hackers ontfutselden de informatie met behulp van sql-injectie, waarbij aan database-requests eigen sql-code wordt toegevoegd door bepaalde parameters te manipuleren. Daardoor kan informatie worden opgevraagd of gewijzigd. Sql-injectie is te voorkomen door bepaalde karakters te strippen uit variabelen die door gebruikers worden ingevuld, bijvoorbeeld de inhoud van formulieren. MySQL heeft daarvoor een speciale functie, die het op zijn eigen website mogelijk niet overal gebruikte.
Het is onduidelijk tot welke databases de hackers toegang hadden, maar de mogelijkheid om een dump van een aanzienlijk deel van de database te maken, wijst erop dat de misbruikte mysql-query op redelijk hoog niveau met de database communiceerde. Zondag werd bekend dat ook de website van Sun vatbaar was voor sql-injectie. Daarbij kon een minder groot deel van de database worden opgevraagd, maar er waren wel onder meer e-mailadressen zichtbaar.
bron: tweakers.net