![[Protocultura]](http://2.bp.blogspot.com/-ewH_Lfy8RSQ/UAhOZgqBSjI/AAAAAAAASxI/bB2UML-l2sQ/s758/Sci-Fi-Gary-Tonge-Future-Monument-Valley.jpg)
Este fin de semana unos hackers rumanos pusieron en evidencia la falta de seguridad de algunos sitios web de Mysql.com y Sun, al exponer nombres de usuario y hashes de contraseñas obtenidos a través de un ataque a ciegas usando nada menos que una inyección SQL o Blind SQL injection.
Los hackers TinKode y Ne0h publicaron un volcado de credenciales robadas de MySQL.com, MySQL.fr, MySQL.de, MySQL.it y www-jp.mysql.com en paste.bin. Entre los datos se incluye la pobre contraseña de 4 dígitos que Robin Schumacher, director de gestión de productos, utilizaba en su cuenta de Wordpress para blogs.mysql.com.
La base de datos expuesta contenía correos electrónicos y credenciales de miembros y empleados, así como tablas con información de clientes y socios, y detalles internos de la red. Los hashes fueron publicados con algunos que ya habían sido descifrados. Por otro lado, XSSed.com también detalla una vulnerabilidad XSS (Cross Site Scripting) que afectan a MySQL.com y que podría haber proporcionado un punto de entrada secundaria que ponía en peligro a los visitantes y empleados desde principios de enero de 2011.
Al mismo tiempo un par de sitios de Sun/Oracle recibieron un ataque similar, pero en este caso sin comprometer datos de acceso.
Autor :Boxbyte
No hay comentarios:
Publicar un comentario