MySQL.com cade a colpi di SQL Injection

MySQL.com, la pagina ufficiale del celeberrimo DBMS passato recentemente nelle mani di Oracle a seguito dell’acquisizione di Sun, è stato attacco da un gruppo di cracker che, quasi a volersi prendere gioco del gruppo, ha sfruttato un SQL Injection per aggirare un sistema di protezione ed ottenere il via libera verso una serie di informazioni personali degli utenti, quali ad esempio i dati di accesso al portale.

Tali dati sono stati poi pubblicati online, evidenziando una pericolosa tendenza da parte di troppe persone ad utilizzare password tanto banali quanto rischiose per la propria sicurezza. Tra queste, anche alcune figure di una certa importanza nel mondo informatico, quale ad esempio uno dei vertici del team di MySQL la cui password si è rivelata essere composta da soli quattro caratteri numerici. Largamente diffuso anche l’utilizzo di password costituite da parole di uso comune o, addirittura, due soli caratteri.

A permettere l’attacco non è stata però la semplicità delle password di molti utenti, quanto bensì un problema relativo al sito web. Nessun bug in MySQL è stato sfruttato per eseguire l’SQL Injection, motivo per cui non è stato diramato alcun allarme di sicurezza per tutelare gli utenti. Il punto debole della catena è stato rilevato invece nell’implementazione del portale ufficiale del progetto, che è caduto sotto i colpi dei cracker che hanno così dimostrato come il termine prudenza non sia mai un dettaglio nel web. Lo stesso sito web di MySQL è stato oggetto di un attacco XSS nel corso del mese di gennaio: in relazione al primo caso il problema non è stato ancora risolto dagli addetti ai lavori.

Allo stesso tempo anche il sito ufficiale di Sun/Oracle è stato attaccato utilizzando una simile metodologia. Il colosso del mondo informatico si è detto pronto ad investigare sulle cause di tale problema, cercando di porre rimedio al più presto per evitare nuove fughe di dati sensibili.