Web-Sicherheit

März 29, 2011

MySQL.com gehackt… mittels SQL Injection!

Filed under: Allgemein — sebastiankuebeck @ 06:20
Tags: , , , , , , ,

Die Seite mysql.com, welche von MySQL, – einer Tochterfirma von Oracle – betrieben wird, wurde am Wochenende Opfer eines SQL-Injection-Angriffs.

Zu dem Angriff bekannten sich die beiden romänischen Hacker TinKode und Ne0h von Slacker.Ro, die sich selbst als Gray-Hats bezeichnen, also als Hacker, die auf Sicherheitsprobleme aufmerksam machen wollen.

Sie veröffentlichten die im Zuge des Angriffs ermittelten Benutzernamen und Password-Hashes auf pastebin.com. Da diese Hashes offenbar keinen Salt-Wert verwendeten (siehe den Fall HBGary), lassen sich so die Passwörter relativ leicht mittels Regenbogentabellen ermitteln. Dabei stellte sich heraus, dass der Produktmanager für WordPress bei MySQL eine vierstellige Zahl als Passwort verwendet. Zahlreiche andere Benutzer verwendeten ‚qa‘ als Passwort.

Auch Oracle selbst wurde ein Opfer dieses Angriffs, allerdings wurden in diesem Fall keine Zugangsdaten entwendet. Das ganze wirft kein gutes Licht auf die Sicherheitspraktiken von Oracle und seinen Tochterfirmen, schließlich hat das Unternehmen Hinweise auf eine Cross-Site-Scripting-Schwachstelle in der MySQL-Homepage laut XSSed.com seit Jänner ignoriert.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: