Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia

Site oficial: MySQL.com invadido via… SQL injection

O site MySQL.com, lar do Oracle MySQL, teve sua segurança comprometida por invasores que se aproveitaram de uma falha de SQL injection para ter acesso a vários recursos do site, incluindo uma lista de usuários e senhas criptografadas – que foi divulgada, o que já conduziu à quebra de várias das senhas.

O ponto de entrada foi uma página de consulta de clientes, e a recomendação básica a qualquer pessoa que tenha (ou já tenha tido) conta no MySQL.com é mudar as suas senhas imediatamente – colocando uma senha diferente lá, e sem esquecer de outros serviços online em que use a mesma senha – em si uma má prática.

As senhas quebradas até o momento revelaram alguns detalhes curiosos, como um diretor do MySQL cuja senha tinha apenas 4 dígitos, e a presença de múltiplas contas administrativas para um serviço de divulgação hospedado no site. (via blog.sucuri.net)


• Publicado por Augusto Campos em 2011-03-28

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Bruno P. Gonçalves (usuário não registrado) em 28/03/2011 às 9:16 am

    Ai eu senti firmeza :P

    MayogaX (usuário não registrado) em 28/03/2011 às 9:21 am

    Nossa, esse é o cumulo da ironia! Site do Mysql…sofrendo sqlinjetion! LOL

    Barba (usuário não registrado) em 28/03/2011 às 9:22 am

    Vale lembrar que o problema do SQL injection não é uma falha do SGDB em si, e sim da linguagem de programação empregada.

    []‘s

    Fabio Melo (usuário não registrado) em 28/03/2011 às 9:44 am

    Barba, na verdade nem da liguagem é a culpa e sim do programador…

    Junin (usuário não registrado) em 28/03/2011 às 9:45 am

    Nossa, esse é o cumulo da ironia! Site do Mysql…sofrendo sqlinjetion! LOL [2]

    Rael Gugelmin Cunha (usuário não registrado) em 28/03/2011 às 9:51 am

    Casa de ferrero, espeto de pau.

    poi (usuário não registrado) em 28/03/2011 às 9:54 am

    O meu, putz por esses caras querem cadastro pra tudo… pô vou ter que trocar a minha senha padrão.

    Glauco (usuário não registrado) em 28/03/2011 às 10:15 am

    Casa de ferrero, espeto de pau. [2]

    Léo Haddad (usuário não registrado) em 28/03/2011 às 10:18 am

    Modo teoria de conspiração ligado: “Oracle deixa o site vulnerável de propósito”
    Mas não deixa de ser cômico. LOL [3]

    Junior Alves (usuário não registrado) em 28/03/2011 às 10:21 am

    …Na verdade nem da liguagem é a culpa e sim do programador… [2]

    algorix (usuário não registrado) em 28/03/2011 às 10:23 am

    É meu amigo… em casa de ferreiro o espeto é de pau.

    tonyfrasouza (usuário não registrado) em 28/03/2011 às 10:53 am

    Sistemas falham, porque seres humanos falham… Neste caso em especifico o sistema é uns dos mais incríveis que já conheci, pena que depende de mentes com um mínimo de brilhantismo.

    MarcusJabber (usuário não registrado) em 28/03/2011 às 11:45 am

    Sistemas falham, porque seres humanos falham… Neste caso em especifico o sistema é uns dos mais incríveis que já conheci

    Sistema são incríveis porque seres humanos são incríveis.

    MarcusJabber (usuário não registrado) em 28/03/2011 às 11:46 am

    **Sistemas

    Suhanko (usuário não registrado) em 28/03/2011 às 11:57 am

    Esse problema é falha do programador, não do SGBD.

    little_oak (usuário não registrado) em 28/03/2011 às 12:18 pm

    Como disse, depois que a Oracle assumiu a SUN foi só lamento.
    Isso é o começo de muita porcaria que ainda está por vir.

    Daqui a pouco vai ter exploit e escalação do tamanho do mundo na plataforma ripada do Red Hat e vão culpar a RHEL.
    FATO!

    Isso é só uma pitada!

    João (usuário não registrado) em 28/03/2011 às 12:58 pm

    Você pode considerar culpa da linguagem sim. Se a linguagem tivesse um sistema de tipos avançado (como Haskell, por exemplo), a biblioteca de acesso ao banco de dados poderia forçar o programador a passar strings literais como comandos SQL, fazendo com que só fosse possível passar dados por meio de prepared statements.

    Rafael A. de Almeida (usuário não registrado) em 28/03/2011 às 12:58 pm

    Essa foi ótima

    Carlos Felipe (usuário não registrado) em 28/03/2011 às 1:05 pm

    Ainda bem que o libreoffice libertou-se, vamos lá, virtualbox!! :P

    Tiago (usuário não registrado) em 28/03/2011 às 1:35 pm

    Amadorismo da Oracle!!!

    Igor Cavalcante (usuário não registrado) em 28/03/2011 às 1:47 pm

    Ironia é um filho de um carpinteiro morrer pregado! :) Confesso que gostei do acontecido, pois não morro de amores pela Oracle.

    tem nada haver com o banco isso… culpa da galera do desenvolvimento que nao tratou corretamente os dados de gest e posts… qualquer banco ta sujeito a isso !

    tonyfrasouza (usuário não registrado) em 28/03/2011 às 4:11 pm

    Sistema são incríveis porque seres humanos são incrível

    Pena que nem todos seres humanos são incríveis…..

    Há um grande abismo entre o gênio da criação e o que somente quer que funcione sem mesmo conhecer o funcionamento e claro usar com responsabilidade.

    Copernico Vespucio (usuário não registrado) em 28/03/2011 às 4:34 pm

    Java dá suporte à “invulnerabilidade” à SQL Injection via JDBC (java.sql.PreparedStatement) e JPA. Isso sem qualquer tipo de filtragem ou tratamento prévio, ou qualquer espécie de codificação adicional.

    Seu sistema só fica vulnerável se vc. fizer de propósito!

    Então, é culpa da linguagem sim. Programador corporativo tem mais o que fazer que ficar filtrando parâmetros. Escolha a API certa e durma mais tranqüilo.

    Bremm (usuário não registrado) em 28/03/2011 às 5:10 pm

    Na hora lembrei disso:

    http://xkcd.com/327/

    Igor Cavalcante (usuário não registrado) em 28/03/2011 às 5:50 pm

    Copérnico, isto que vc apontou não é referente a linguagem. jdbc não tem haver com a linguagem e sim com uma tecnologia desenvolvida pra ela. Assim como ruby, php etc tem tecnologias que já eliminam a possibilidade de sql injection.

    tenchi (usuário não registrado) em 28/03/2011 às 6:45 pm

    @Igor Cavalcante, possuem tecnologias para evitar sql injection, mas isso não significa necessariamente que os programadores usam. O problema está nos programadores.

    Ou não. Se o mysql.com utilizasse o banco de dados da Oracle, isso não teria acontecido. Viu no que dá usar estes bancos gratuitos que se acha na Internet? hauaha

    Rafael Brandão (usuário não registrado) em 28/03/2011 às 6:53 pm

    É MUITA ironia! HAHAHAH

    Lucaugusto (usuário não registrado) em 28/03/2011 às 9:10 pm

    @tenchi
    Nem o banco nem a linguagem fariam diferença neste caso… qualquer banco ou linguagem meia-boca já suporta o uso de prepared statements.

    A única diferença é que normalmente tem menos amadores programando java/oracle do que php/mysql.

    Lucaugusto (usuário não registrado) em 28/03/2011 às 9:22 pm

    ps: basta pesquisar no google por “evitar injeção sql PHP” para ver o ‘profissionalismo’ das soluções propostas…

Este post é antigo (2011-03-28) e foi arquivado. O envio de novos comentários a este post já expirou.