MySQL victime d'une injection SQL

Les attaquants ont publié les mots de passe de certains comptes. Des mangers hauts placés de MySQL font partie des victimes.

L'attaque ne manque pas d'ironie : le site officiel du célèbre système de gestion de base de données MySQL a été victime d'une attaque par injection SQL qui a ouvert l'accès la liste complète des noms d'utilisateurs et leurs mots de passe chifrés. Les assaillants ont d'ailleurs publié les informations sensibles subtilisées, et certains des mots de passe, hashés, ont été craqués.

Parmi la liste des victimes figurent des Top Managers de MySQL, comme Robin Schumache (Director of Product Management), dont le mot de passe n' était d'ailleurs qu'une suite de 4 chiffres, dont 3 identiques. L'attaque a été réalisée via des injections SQL à l'aveugle ("Blind SQL Injection").

MySQL.com, MySQL.fr, MySQL.de MySQL.it, www-jp.mysql.com ont été cilblés ainsi que 2 noms de domaines appartenant à Sun (www.reman.sun.com et http://www.ibb.sun.com/.). Une vulnérabilité XSS (cross-site scripting) sur mysql.com avait par ailleurs déjà été signalée début janvier, mais elle n'a toujours pas été corrigée.