Discussion :

[Katleen Erna]

Les sites de MySQL victimes d'une attaque informatique, par injection SQL

Les sites officiels de MySQL (le .com, mais aussi ses versions françaises, allemandes, italiennes et japonaises) ont été la cible d'attaques informatiques.

Les pirates ont procédé par injection SQL (le comble!) et ont ainsi dérobé un listing des adresses e-mail des employés, ainsi que leurs mots de passe, avec en prime des informations confidentielles sur les consommateurs.

De plus, le code d'accès au WordPress du directeur de management des produits a été saisi, il faut dire qu'il ne comprenait que... 4 chiffres ! Et certains comptes avaient des mots de passe faits de seulement deux caractères.

Malgré tout, ce ne sont pas ces mots de passe faibles qui ont été utiliser pour compromettre les sites, mais des failles dans l'implémentation des sites en question (et donc non présentes dans MySQL lui-même).

Les attaques ont aussi visé les sociétés propriétaires de MySQL (Sun et Oracle), mais avec un succès partiel. Les e-mails ont été récupérés dans les bases de données, mais pas les mots de passe.

Source : Le blog de Sophos

[H.Pascal]

Mais quelle bande de tâches quand même, comment c'est encore possible ça !

[Ev3r10st]

ah ah la blague

[Oishiiii]

Le plus grave c'est l'injection SQL ou le stockage des mots de passe en clair ?

[guilhem91]

La blague ! Ça ressemblerait presque à un poisson d'avril un peu en avance

[Aiekick]

c'est pas forcement les développeur d’application qui en sont les meilleurs utilisateurs.

[pi-2r]

c'est vraiment un comble...

[Code62]

Epic fail

[nu_tango]

Voir aussi http://seclists.org/fulldisclosure/2011/Mar/309

C'est vrai que c'est pas très glorieux pour un site de cette renommée... ça doit faire 5 ans que j'ai pas fais de php mais un simple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$id = intval($_GET['id'])

avant traitement aurait empêché ce désastre non ?

[ratomms]

ça alors, c'est vraiment comble. Pourquoi est-ce possible?

[Flaburgan]

L'attaque a été revendiquée et c'était un white hat, ou bien les développeurs ont du souci à se faire ?

[FaridM]

Le plus grave c'est l'injection SQL ou le stockage des mots de passe en clair ?

Ou les deux, plus les code d'accés à 2 ou 4 caractères...
Wordpress autorise les mots de passe de seuleument 4 caractères?

C'est tellement énorme que j'ai du mal à y croire.

[Flaburgan]

Euh, s'agit pas de wordpress là...

[demenvil]

Énoorme..
C'est pas mal une bonne petite histoire ^^ les site de mysql pirater par injection sql ^^ des mot de passe de 4 chiffre et d'autre de deux caractères
On peut dire qu'il y a du niveau chez Oracle

[berceker united]

Bizarre, il y a quelque temps c'était le site de PHP.net qui a été attaqué.
Coïncidence ou non ?

[demenvil]

Bah c'est la fête en ce moment ^^
le site de php, mysql, des certifs SSL (google & cie) et même la nasa ^^ Si on rajoute stuxnet moi je dit en ce moment c'est la fête !

[FaridM]

Euh, s'agit pas de wordpress là...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
De plus, le code d'accès au WordPress du directeur de management des
 produits a été saisi, il faut dire qu'il ne comprenait que... 4 chiffres !

C'était simplement une question, la plupart des applis n'autorisent pas d'avoir un mot de passe de moins de 5 ou 6 caractères et je savais pas Wordpress le permet.
Ma remarque était là aussi pour dire que la sécurité n'est pas leur priorités...