MySQL, victime d’une injection SQL

Dans ce qui s’apparente à un énième épisode de l’arroseur arrosé, le site du serveur de bases de données Open Source MySQL, mysql.com a été ce week-end la cible d’une attaque…par injection SQL. Les pirates qui ciblaient également les sites mysql.fr mysql.de, mysql.it et www-jp.mysql.com sont parvenus à subtiliser les crédences des utilisateurs du site officiel de la base Oracle…et de publier une partie du contenu, comme les emails, sur le site pastebin.com. Certains mots de passe, initialement chiffrés, ont également été publiés.
L’attaque a été dévoilée pendant le week-end sur la liste de diffusion du Full Disclosure et serait l’oeuvre de deux hackers qui se font appeler “TinKode” et “Ne0h”.

Parmi les crédences publiées, on retrouve notamment celles de Käj Arno, ancien responsable des communautés chez MySQL, parti désormais chez SkySQL en tant que vice président produit et communautés, ainsi que celles de Robin Schumacher directeur de produit chez MySQL, aujourd’hui directeur de la stratégie chez EnterpriseDB.

Selon Sophos, cette attaque ne semble pas être le résultat d'une vulnérabilité de la base de données MySQL, mais d'une mauvaise implémentation au sein des sites.