Søndag la to beryktede rumenske hackere, TinKode og Ne0h, ut denne oversikten over data kapret etter et vellykket innbrudd mot MySQL.com.
MySQL er, som kjent, et populært databaseverktøy i friprog som Oracle nå har herredømme over etter overtakelsen av Sun.
Samme dag la TinKode også ut data han fikk tak i etter et angrep mot Sun.com.
Den mest oppsiktsvekkende datafangsten er den fra MySQL.com.
Den inneholder en liste over interne brukernavn med tilhørende krypterte passord. I noen tilfeller har det også lykkes hackerne å dekryptere passordene.
Det går blant annet fram av listen at bruker «sys» har passordet «phorum5» – som også går igjen hos bruker «mysqlforge» – mens «sysadm» har passordet «qa», i likhet med brukerne «wb» og «web_projects». «sys» har et annet passord som bare er oppgitt i kryptert utgave.
Avsløringen omfatter en liste over 46 databaser som hackerne oppgir å ha hatt full tilgang til. Blant disse er «certification», «customer», «intranet», «kaj» (sannsynligvis Kaj Arnö», ansvarlig i MySQL for kontakt med utviklerfellesskapet), «partners», «test» og «wordpress».
En tredje liste omfatter detaljer om e-postkontoene til flere sentrale personer i MySQLs organisasjon. Også noen av disse passordene er dekryptert. I likhet med de dekrypterte passordene til MySQL-systemene, avslører e-postpassord grove brudd på anbefalte regler for passord til følsomme opplysninger.
Produktsjef Robin Schumacher med over 20 års erfaring med databaser – DB2, MySQL, Oracle, SQL Server – verner om sine persondata med brukernavnet «admin» og passordet «6661». Visepresident Kaj Arnö tyr også til brukernavnet «admin», og hans to noe korte passord, «37c3ab9» og «grankulla», er begge knekket. (Vi får gå ut fra at dem det gjelder har byttet passord det siste døgnet.)
Fangsten fra Sun.com inneholder ingen passord, men en rekke brukernavn og databaser.
Metoden for angrepet oppgis å være «blind» SQL-injisering.
Det har vært mye oppmerksomhet rundt SQL-injisering som hackermetode i flere år. Man kunne ventet at databaser drevet at et databaseselskap var immune overfor slikt.
Analyser av henholdsvis Sophos og Infoworld understreker at det ikke er en svakhet i selve produktet MySQL som har vært utnyttet, men en ukjent sårbarhet i implementeringen på nettstedene det gjelder.
SQL-injisering består av at man prøver seg fram med å oppgi SQL-kommandoer der en databaseapplikasjon ber om inndata. Avhengig av hva slags tilbakemelding man får, justerer man SQL-kommandoen til ting begynner å skje. Vellykket SQL-injisering kan endre data i databasen, utføre administrative oppgaver, bane vei til filsystemet på databaseserveren, og til og med gi adgang til serverens operativsystem.
En enkel måte å gjøre SQL-injisering vanskelig, er å erstatte vanlige feilmeldinger fra databaseserveren med en generisk feilmelding. Hackeren må da favne mer i blinde, og må ty til metoder under merkelappen «blind» SQL-injisering. Det er vanskelig, men, som disse tilfellene viser, ikke umulig.
TinKode og Ne0h oppgir bare følgende om sin metode: « UnKn0Wn aka SQL Injection».
