Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les sites de MySQL victimes d'une attaque informatique
Par injection SQL

Le , par Katleen Erna

0PARTAGES

9  0 
Les sites de MySQL victimes d'une attaque informatique, par injection SQL

Les sites officiels de MySQL (le .com, mais aussi ses versions françaises, allemandes, italiennes et japonaises) ont été la cible d'attaques informatiques.

Les pirates ont procédé par injection SQL (le comble!) et ont ainsi dérobé un listing des adresses e-mail des employés, ainsi que leurs mots de passe, avec en prime des informations confidentielles sur les consommateurs.

De plus, le code d'accès au WordPress du directeur de management des produits a été saisi, il faut dire qu'il ne comprenait que... 4 chiffres ! Et certains comptes avaient des mots de passe faits de seulement deux caractères.

Malgré tout, ce ne sont pas ces mots de passe faibles qui ont été utiliser pour compromettre les sites, mais des failles dans l'implémentation des sites en question (et donc non présentes dans MySQL lui-même).

Les attaques ont aussi visé les sociétés propriétaires de MySQL (Sun et Oracle), mais avec un succès partiel. Les e-mails ont été récupérés dans les bases de données, mais pas les mots de passe.

Source : Le blog de Sophos

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Ev3r10st
Membre habitué https://www.developpez.com
Le 30/03/2011 à 20:30
ah ah la blague
1  0 
Avatar de Oishiiii
Membre éprouvé https://www.developpez.com
Le 30/03/2011 à 20:39
Le plus grave c'est l'injection SQL ou le stockage des mots de passe en clair ?
1  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 30/03/2011 à 21:58
c'est pas forcement les développeur d’application qui en sont les meilleurs utilisateurs.
1  0 
Avatar de berceker united
Expert confirmé https://www.developpez.com
Le 31/03/2011 à 12:56
Bizarre, il y a quelque temps c'était le site de PHP.net qui a été attaqué.
Coïncidence ou non ?
1  0 
Avatar de demenvil
Membre averti https://www.developpez.com
Le 31/03/2011 à 12:59
Bah c'est la fête en ce moment ^^
le site de php, mysql, des certifs SSL (google & cie) et même la nasa ^^ Si on rajoute stuxnet moi je dit en ce moment c'est la fête !
1  0 
Avatar de guilhem91
Membre régulier https://www.developpez.com
Le 30/03/2011 à 21:25
La blague ! Ça ressemblerait presque à un poisson d'avril un peu en avance
0  0 
Avatar de pi-2r
Rédacteur https://www.developpez.com
Le 30/03/2011 à 22:40
c'est vraiment un comble...
0  0 
Avatar de Code62
Membre éclairé https://www.developpez.com
Le 30/03/2011 à 23:22
Epic fail
0  0 
Avatar de nu_tango
Membre averti https://www.developpez.com
Le 31/03/2011 à 1:05
Voir aussi http://seclists.org/fulldisclosure/2011/Mar/309

C'est vrai que c'est pas très glorieux pour un site de cette renommée... ça doit faire 5 ans que j'ai pas fais de php mais un simple
Code : Sélectionner tout
$id = intval($_GET['id'])
avant traitement aurait empêché ce désastre non ?
0  0 
Avatar de ratomms
Membre actif https://www.developpez.com
Le 31/03/2011 à 8:59
ça alors, c'est vraiment comble. Pourquoi est-ce possible?
0  0