MySQL-Webseiten wurden via SQL-Injection gehackt

Mehrere Webseiten des Datenbank-Dienstleisters MySQL wurden am Wochenende gehackt. Peinliches Detail für das Unternehmen: Die Angreifer hatten ausgerechnet mit einer SQL-Injection Erfolg. Sie verschafften sich damit Zugang zu den Datenbanken hinter verschiedenen Landesversionen des Portals. Dabei erlangten sie Zugang zu E-Mail-Adressen und anderen Daten von Mitarbeitern und Nutzern sowie zu Informationen über die Zusammenarbeit mit Partnern und über die interne Struktur des MySQL-Netzwerkes.

Im Internet sind inzwischen auch die Hash-Werte von Passwörtern aufgetaucht. Einige von ihnen sind inzwischen entschlüsselt, so dass Dritte Zugang zu Nutzerkonten erhalten können. Neben der SQL-Injection tauchten außerdem Informationen über eine Sicherheitslücke auf, die Angriffe via Cross Site Scripting (XSS) zulässt und so einen weiteren Zugangspunkt bietet.

Informationen zu dem Angriff tauchten zuerst in der Full Disclosure-Mailingliste auf. MySQL ist inzwischen auch direkt informiert worden. Bislang gab das Unternehmen allerdings noch keine Stellungnahme ab. Es ist aber davon auszugehen, dass die Techniker im Hintergrund inzwischen an der Behebung der Probleme arbeiten.