Nieuws

MySQL.com gehackt via SQL-injection

maandag 28 maart 2011, 14:25 door Redactie, 4 reacties

Een aanvaller is erin geslaagd de website van MySQL via SQL-injectie te hacken, om vervolgens allerlei vertrouwelijke informatie te stelen en online te zetten. Onder de door "Jackh4xor" buitgemaakte informatie bevindt zich ook een overzicht van alle wachtwoorden en de database structuur, zo blijkt uit de onthulling van de aanvaller op de Full-disclosure mailinglist. Mogelijk gebruikte die de "customer view applicatie" als startpunt voor de aanval.

Vervolgens kreeg de aanvaller daar vandaan toegang tot de interne databases, tabellen en wachtwoorden. Inmiddels is iemand al begonnen met het kraken van de wachtwoord-hashes, waaruit blijkt dat er zeer zwakke wachtwoorden voor allerlei accounts werden gebruikt. Klanten met een account op MySQL.com krijgen het advies hun wachtwoord zo snel als mogelijk te wijzigen. Zo gebruikte de Directeur Product Management een adminwachtwoord van slechts vier cijfers lang. Zowel op de eigen website als Twitter zwijgt MySQL over de aanval.

"Amazon brengt Android-gebruikers in gevaar"

Microsoft veroorzaakt HTTPS-uitval in Midden-Oosten

Reacties (4)

28-03-2011, 14:46 door DanielG

Ironie? Trouwens ze zijn via dit ook binnen sun.com gekomen.

28-03-2011, 15:31 door Anoniem

EPIC FAIL! lol!

29-03-2011, 11:18 door Anoniem

De website gebruikt php, dus ik vermoed slechte inputvalidatie.

30-03-2011, 08:15 door Anoniem

@Anoniem: Wanneer je niets doet tegen SQL injection, krijg je een website die gevoelig is voor SQL injection. Of je dit nu doet met PHP, ASP of welke willekeurige andere taal dan ook doet, maakt niets uit. Gewoon vreselijk prutswerk van de programmeurs.

Gebruik prepared statements, PHP heeft daarvoor MySQLi-functies en PDO voor beschikbaar, en je hebt nergens last van. Het is wat extra werk, maar dan had je maar geen MySQL moeten kiezen als database: Met PostgreSQL is het gebruik van prepared statements veel eenvoudiger, pg_query_params() is extreem eenvoudig in het gebruik.

Een beetje framework regelt dit soort zaken trouwens ook zelf af, programmeurs zijn en blijven de zwakste schakel in de beveiliging, die kun je niet vertrouwen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer