Site oficial do MySQL é invadido usando SQL Injection
Hackers usam truque simples para conseguir logins e senhas de usuários.
Em mais um exemplo de como o ditado “casa de ferreiro, espeto de pau” é verdadeiro, um ataque recente ao site mysql.com não só foi bem sucedido, como os crackers também acessaram e roubaram diversas informações cruciais. A ironia da história? A invasão foi realizada através de uma simples SQL Injection!
![godzilla-facepalm](https://files.tecnoblog.net/wp-content/uploads/2011/03/godzilla-facepalm-580x350.jpg)
Ataques de SQL Injection normalmente acontecem em sistemas amadores, onde os desenvolvedores (por desconhecimento ou desatenção) não sanitizam as chamadas ao banco de dados, impedindo a inclusão de comandos SQL via adição de código extra. Por exemplo, um simples:
SELECT * FROM 'clientes' WHERE 'id'=1
Pode virar um pesadelo simplesmente adicionando um comando extra, através de chamadas GET ou POST:
SELECT * FROM 'clientes' WHERE 'id'=1;DROP TABLE 'usuarios';
Onde o segundo comando apagaria toda a tabela “usuarios”. Ou seja, o truque mais bobo do manual. E é exatamente essa falha que foi explorada no site oficial do MySQL, por incrível que pareça.
Da invasão, foram obtidas listas de usuários, com seus e-mails e suas respectivas senhas criptografadas. Tais listas já foram divulgadas pela internet, e algumas até mesmo já foram quebradas, revelando dados curiosos: um diretor do MySQL tinha uma senha com apenas 4 (quatro!) caracteres!
A recomendação dos responsáveis pelo site é que, se você tiver uma conta no mysql.com (ou nos espelhos mysql.fr, mysql.de e mysql.it), que acesse o quanto antes e altere a senha atual. Se essa senha for comum para contas em outros sites, faça o mesmo nesses serviços.
Com informações: Techie Buzz.