www.MegaLab.it

Tramite un messaggio inviato alla celebre mailinglist Full Disclosure, un cracker firmatosi Jackh4xor ha segnalato di aver "bucato" il sito MySQL.com, punto di riferimento ufficiale per tutte le attività legate al celebre database open source.

L'aggressore ha fatto leva su un difetto della web application per portare un attacco di tipo SQL Injection: a causa dell'insufficiente validazione dei parametri passati dal client alla pagina MySQL.com/customers/view/index.html, Jackh4xor ha potuto sottoporre query a propria discrezione al database alle spalle del servizio, recuperando così tutte le informazioni contenute.

Fra queste, oltre alla struttura delle varie tabelle, figurano credenziali d'accesso amministrative e indirizzi e-mail. Il "bottino" è stato poi reso disponibile pubblicamente tramite la risorsa per programmatori pastebin.com.

Interessante notare che, sebbene le password fossero state correttamente archiviate in formato crittografato, numerosi account utilizzavano parole d'ordine composte da pochi caratteri, facilmente craccabili tramite un attacco "a forza bruta" (bruteforce).

Un secondo assalto, del tutto analogo, è stato rivolto verso Sun.com. Come noto, si tratta del dominio di Sun Microsystems, ovvero l'azienda che, prima dell'acquisizione da parte di Oracle, deteneva la prorietà di MySQL.

In questo secondo caso sono però stati carpiti soltanto indirizzi e-mail e username, ma non le relative password.

Non è chiaro, al momento, se vi sia una correlazione fra i due casi. Le prove parrebbero però suggerire che si sia trattato di due assalti perpetrati dagli stessi soggetti.

È importante notare che i cracker hanno sfruttato una debolezza nella web application e non nel codice di MySQL. Questo significa che non non è necessario alcun aggiornamento per le centinaia di migliaia di server indipendenti che si appoggino al programma come backend per l'erogazione di risorse aziendali e siti Internet.