domingo, 22 de maio de 2011

Site oficial do MySQL é invadido usando SQL Injection

Em mais um exemplo de como o ditado “casa de ferreiro, espeto de pau” é verdadeiro, um ataque recente ao site mysql.com não só foi bem sucedido, como os crackers também acessaram e roubaram diversas informações cruciais. A ironia da história? A invasão foi realizada através de uma simples SQL Injection!

Ataques de SQL Injection normalmente acontecem em sistemas amadores, onde os desenvolvedores (por desconhecimento ou desatenção) não sanitizam as chamadas ao banco de dados, impedindo a inclusão de comandos SQL via adição de código extra. Por exemplo, um simples:

SELECT * FROM 'clientes' WHERE 'id'=1

Pode virar um pesadelo simplesmente adicionando um comando extra, através de chamadas GET ou POST:

SELECT * FROM 'clientes' WHERE 'id'=1;DROP TABLE 'usuarios';

Onde o segundo comando apagaria toda a tabela “usuarios”. Ou seja, o truque mais bobo do manual. E é exatamente essa falha que foi explorada no site oficial do MySQL, por incrível que pareça.

Da invasão, foram obtidas listas de usuários, com seus e-mails e suas respectivas senhas criptografadas. Tais listas já foram divulgadas pela internet, e algumas até mesmo já foram quebradas, revelando dados curiosos: um diretor do MySQL tinha uma senha com apenas 4 (quatro!) caracteres!

A recomendação dos responsáveis pelo site é que, se você tiver uma conta no mysql.com (ou nos espelhos mysql.fr, mysql.de e mysql.it), que acesse o quanto antes e altere a senha atual. Se essa senha for comum para contas em outros sites, faça o mesmo nesses serviços.

0 comentários:

Postar um comentário