Twee Roemeense hackers hebben afgelopen weekend de website van databaseproduct MySQL gekraakt. De website bezweek ironisch genoeg onder een aanval met behulp van sql-injectie. Zo’n lek kan ontstaan als gebruikersinvoer niet wordt gecontroleerd op ongewenste code. Door een extra sql-commando in een invulveld zoals gebruikersnaam in te voeren, kunnen dan alle sql-commando’s uitgevoerd worden.

Eenvoudige wachtwoorden

De Roemenen onthulden hun hack via de Full Disclosure mailinglist. Beveiligingsexpert Chester Wisniewski van Sophos meldt op zijn weblog dat de hackers met behulp van de aanval de databasetabel met gebruikersgegevens wisten te confisqueren. Zij postten deze gegevens later op de website Pastebin. De wachtwoorden in die dump zijn al deels gekraakt.

Het is daarbij opvallend dat veel beheerders van de website erg eenvoudige wachtwoorden gebruiken. Zo komt het tweeletterige wachtwoord ‘qa’ enkele malen voor. Daarnaast werden meerdere, moeilijkere, wachtwoorden verschillende keren herhaald onder meerdere gebruikers.

Ook website Sun gekraakt

Verder werden gebruikersnamen en wachtwoorden van de weblogs op MySQL.com buitgemaakt. Zo werd bekend dat het wachtwoord van productmanager Robin Schumacher slechts uit vier cijfers bestaat. Wisniewski meent dat dat wel eens de pincode van Schumacher zou kunnen zijn.

Naast de website van MySQL werd ook de website van moederbedrijf Sun (inmiddels Oracle) aangevallen. Dezelfde Roemenen wisten daar wel tabellen en e-mailadressen te stelen, maar konden geen wachtwoorden buitmaken. Daarnaast zou de website van MySQL kwetsbaar zijn via een cross site scripting hack. Dat gat zou al in januari 2011 gemeld zijn maar nog niet gedicht.

'Waarschijnlijk geen softwareprobleem'

Wisniewski merkt op dat de mogelijkheid om de websites van Sun en MySQL te hacken via sql-injectie geen kwetsbaarheid in de software is. Volgens de beveiligingsexpert gaat het hier eerder om een gebrek in de uitvoering van de websites van het bedrijf.

Het gebruiken van sql-injectie om een website te kraken is overigens niet zeldzaam. Omdat veel websites niet goed beveiligd zijn tegen de klassieke truc is het een populair wapen van veel hackers. Op die manier werden recentelijk bijvoorbeeld de website van de Free Software Foundation en The Pirate Bay gehackt. Ook de geruchtmakende hack van beveiligingsbedrijf HBGary werd gestart met behulp van sql-injectie.