MySQL.com comprometido a través de ¿adivinen qué? inyección SQL : Tecnometro

lunes, 28 de marzo de 2011

MySQL.com comprometido a través de ¿adivinen qué? inyección SQL

MySQL.com (el sitio oficial de la base de datos MySQL) se vio comprometida a través de (Chocante) inyección SQL a ciegas. Un mensaje fue enviado a la lista Full Disclosure explicando el problema y mostrando parte de la estructura de la base de datos interna.

Al parecer, su aplicación para ver clientes se utilizó como punto de entrada. Aquí es donde los atacantes fueron capaces de enumerar las bases de datos internas, tablas y contraseñas. Si tienes una cuenta en MySQL.com, se recomienda cambiar las contraseñas lo antes posible (sobre todo si acostumbras a utilizarla en varios sitios).

Lo que es peor es que también se publicó línea las contraseñas para ser descargadas y algunas personas empezaron a crackear ya. Algunos de los resultados son bastante malos, al igual que la contraseña utilizada por el Director de Gestión de Producto de MySQL, que tiene sólo 4 números. Múltiples contraseñas de administrador para blogs.mysql.com también se publicaron.

 
Copyright 2015 Tecnometro | tecnología, informática, Internet