• Fecha: Mar 28, 2011
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

FayerWayerEste fin de semana unos hackers rumanos pusieron en evidencia la falta de seguridad de algunos sitios web de Mysql.com y Sun, al exponer nombres de usuario y hashes de contraseñas obtenidos a través de un ataque a ciegas usando nada menos que una inyección SQL o Blind SQL injection.

Los hackers TinKode y Ne0h publicaron un volcado de credenciales robadas de MySQL.com, MySQL.fr, MySQL.de, MySQL.it y www-jp.mysql.com en paste.bin. Entre los datos se incluye la pobre contraseña de 4 dígitos que Robin Schumacher, director de gestión de productos, utilizaba en su cuenta de WordPress para blogs.mysql.com.

La base de datos expuesta contenía correos electrónicos y credenciales de miembros y empleados, así como tablas con información de clientes y socios, y detalles internos de la red. Los hashes fueron publicados con algunos que ya habían sido descifrados. Por otro lado, XSSed.com también detalla una vulnerabilidad XSS (Cross Site Scripting) que afectan a MySQL.com y que podría haber proporcionado un punto de entrada secundaria que ponía en peligro a los visitantes y empleados desde principios de enero de 2011.

Al mismo tiempo un par de sitios de Sun/Oracle recibieron un ataque similar, pero en este caso sin comprometer datos de acceso.

Fuente: FayerWayer / Eric Tecayehuatl «@BoxByte«

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.