Accueil » Actualité » MySQL.com victime d’une injection SQL

MySQL.com victime d’une injection SQL

Image 1 : MySQL.com victime d'une injection SQL

Coup du sort et maladresse de certains administrateurs, MySQL.com a été piraté le week-end dernier par une injection SQL. Les hackers ont pu extraire les identifiants et les empreintes de mots de passe qu’ils n’ont pas manqué de publier sur pastebin.com.

Deux pirates roumains ont revendiqué l’acte lors de la publication des identifiants sur Internet. Les pirates ont aussi tenté d’utiliser la même attaque sur le site d’Oracle, mais ils sont repartis bredouilles. Ils ont tout de même pu déchiffrer les mots de passe les plus simples à l’aide d’une table arc-en-ciel. C’est ainsi que le monde a pu découvrir que le directeur responsable du compte WordPress chez MySQL n’utilisait que quatre chiffres comme mot de passe (le code de sa carte bancaire ?).

MySQL.com héberge le célèbre outil de base de données MySQL. Il offre aussi des conseils pour assurer la sécurité de sa base de données. Les pirates affirment néanmoins avoir publié la faille un mois avant de l’exploiter. Il est conseillé à tous ceux qui ont un compte sur MySQL.com de changer de mot de passe. Si la portée du problème est minime, l’ironie de la situation devrait rester dans les annales. MySQL continue aussi d’être vulnérable à des attaques cross-site scripting selon Sophos qui sont connues depuis le début de l’année. Pour rappel, ce genre d’attaque permet d’injecter des données arbitraires dans un site web pour modifier son fonctionnement. Par exemple, publier un message sur le forum qui va contenir du code malveillant que le site va exécuter.