Het probleem zit in de manier waarop de client en de server sleutels uitwisselen. Dat blijkt uit een document (pdf) waarin beveiligingsexperts VonJeek en RevMoon het lek uit de doeken doen.

Om de aanval uit te voeren is het wel noodzakelijk om of toegang te krijgen tot de database via fysieke toegang of via een van de diverse standaardwachtwoorden. Ook is het mogelijk te richten op de applicaties die met de database praten. Als dat lukt heeft de aanvaller toegang tot de gebruikersnaam en zogenaamde wachtwoordhash (gecodeerd wachtwoord).

Wie eenmaal het wachtwoord in handen heeft, hoeft niet veel energie in de daadwerkelijke aanval te steken. Het bedrijf gebruikt voor het coderen een 'fixed magic number' dat niet ingewikkelder is dan 0x01234567890ABCDEF. Vervolgens gebruikt het bedrijf een simpele combinatie van deze code en de gebruikersnaam voor de DES-versleuteling.

Met deze wetenschap is het mogelijk de hashes in enkele seconden te kraken. Om het gelijk te bewijzen hebben de makers een applicatie voor Windows gemaakt om dit uit te proberen.

Het is niet de eerste keer dat er kritiek op de beveiliging van Oracle is. In december werd een week afgelast waarin elke dag een nieuw lek zou worden gepresenteerd. De reden is nooit bekendgemaakt, maar bekend is wel dat Oracle fel op de aankondiging van de lekkenweek reageerde. In oktober vorig jaar vonden veel beveiligingsexperts dat Oracle de ernst van beveiligingslekken bagatelliseerde.