Le site web MySQL.com réservé aux clients d'Oracle a apparemment été compromis au cours du week-end par des pirates qui ont publié  les noms d'utilisateurs et dans certains cas leurs mots de passe.

Les deux hackers d'origine roumaine se font appeler « TinKode » et « Ne0h». La méthode utilisée pour le piratage est une attaque par injection SQL, sans fournir de détail plus précis. Les noms de domaines touchés ont été recensés : www.mysql.com, www.mysql.fr, www.mysql.de, www.mysql.it et www-jp.mysql.com. Selon un post sur la liste de diffusion Full Disclosure, MySQL.com repose sur une variété de bases de données internes qui sont sur un serveur web Apache. Les informations affichées sur le post inclus une série d'empreintes (hash) de mots de passe, dont certains ont été cassés.

Attention au mot de passe trop simple

Parmi les informations d'identification publiées par le site Pastebin, on découvre par exemple le blog de deux anciens employés de MySQL.  Il y a l'ancien responsable produit, Robin Schumacher, et l'ancien vice-président des relations communautaires, Kaj Arno. Le premier est actuellement directeur de la stratégie produit chez EnterpriseDB, tandis que le second est maintenant vice-président exécutif pour les produits à SkySQL. On notera que le mot de passe choisi par Robin Schumacher, 6661, est très simple et ne correspond pas aux règles élémentaires de sécurité.

Oracle, qui a pris le contrôle de MySQL avec l'acquisition de Sun Microsystems en avril 2009, n'a pas fait de commentaires. Sucuri, une entreprise de sécurité qui surveille les sites web des attaques de pirates, a conseillé aux utilisateurs ayant un compte sur MySQL.com, de changer leurs mots de passe dès que possible et surtout de ne pas utiliser le même mot de passe sur plusieurs sites.