Сайт MySQL взломали с помощью SQL-инъекции

Румынские хакеры TinKode и Ne0h опубликовали данные, собранные ими в результате взлома сайтов mysql.com и sun.com.

Как сообщается, официальный сайт MySQL содержит по крайней мере две уязвимости: SQL-инъекция и XSS-уязвимость. Используя SQL-инъекцию взломщики сумели считать список баз данных, использующихся этим ресурсом, список таблиц этих баз, а также содержимое таблиц с данными об их пользователях — логинами и паролями, хэшированными при помощи стандартной функции MySQL password().

Кроме того, хакерам удалось обнаружить email-адреса пользователей, также с хэшами паролей (MD5). Некоторые из паролей того и другого типа удалось восстановить.

Нельзя не отметить исключительную простоту некоторых из вскрытых паролей. Например, пользователи с весьма примечательными логинами "sys" и "sysadm" завели себе пароли "phorum5" и "qa" соответственно. А почта одного из руководителей высшего звена MySQL запаролена последовательностью из четырёх цифр, три первые из которых одинаковы.

Эксперт компании Sophos Честер Вишневски (Chester Wisniewski) не без иронии предполагает, что эти же цифры являются пин-кодом пластиковой карты этого человека.

Хакеры отмечают, что обе уязвимости mysql.com (имеющие также место и на региональных сайтах компании) были обнаружены ими ещё в начале января. Результаты взлома они решили предать гласности после того, как их приятель по имени Jackh4x0r воспользовался той же уязвимостью и опубликовал всё, что только смог через неё вытащить.

Также TinKode и Ne0h нашли XSS-уязвимость в двух поддоменах sun.com. Через эту уязвимость хакеры получили список корпоративных email-адресов.

В MySQL и Sun пока не прокомментировали эти инциденты.