Hacker telah menyerang database MySQL.com, seperti bahasa Perancis, Jerman, Italia, Jepang dan versi lokal lainya pada website tersebut. Ironisnya itu dilakukan dengan meng-exploit vulnerability SQL Injection.Seorang hacker yang menyebut dirinya Jackh4x0r mengungkapkan dengan mempublikasikan laporannya di mailing list terkenal.
Laporan ini mencakup informasi tentang parameter vulnerability (baca: kerentanan), daftar tabel dari beberapa data base dan daftar pengguna database dengan password dalam hash.
Tidak lama kemudian, hacker Romania, TinKode menerbitkan laporan yang lebih lengkap di blognya dam mengklaim bahwa dia dan seorang temannya yang menemukan vulnerability tersebut beberapa bulan yang lalu dan menyatakan bahwa seharusnya itu tidak dipublikasikan.
"Pagi ini teman kami Jackh4x0r memutuskan untuk mempublikasikan vulnerability pada MySQL.com. Ini tentang parameter vulnerability untuk SQL Injection, apa yang telah kita (TinKone & Ne0h) temukan beberapa bulan yang lalu," tulis hacker tersebut.
Sebagai bukti klaimnya, dia memberikan link ke private theard sebelumnya yang ada di forum Team Insecurity Romanias (ISR) dimana vulnerability tersebut telah dibahas sejak 3 Januari 2011.
Pengungkapan TinKode juga mencakup informasi seperti password beberapa database dan account blog, termasuk didalamnya Robin Schumacher, direktur manajemen produk MySQL.
Password blog Schumacher hanya terdiri dari empat digit, itulah sebabnya mengapa cracking hash dengan mudah dilakukan. Password Kaj Arno, mantan wakil presiden MySQL Community in the Database Group at Sun Microsystems, juga diungkap.
TinKode sebelumnya juga memngungkap vulnerability serupa pada situs UK Royal Navy, NASA dan U.S. Army. Dia juga bertanggung jawab dalam mengungkapkan XSS vulnerability pada YouTube dalam komentar YouTube yang di-exploit oleh anggota 4chan untuk mentargetkan fans Justin Bieber setahun yang lalu.
Inseden itu membuktikan betapa umumnya keberadaan vulnerability. Jika pencipta MySQL, database engine yang paling banyak digunakan di dunia, tidak dapat mengamankan situs mereka sendiri melawan serangan SQL Injection, apakah wajar harapan keamanan dapat dilakukan oleh website yang tidak dijalankan oleh para ahli?
Ini menunjukan bahwa SQL Injection adalah vaktor serangan yang sangat berbahaya. Tidak seperti cross-site scripting, yang dapat digunakan untuk meng-inject kode nakal ke web page, vulnerability pada SQL Injection juga bisa dimanfaatkan untuk mengambil data sensitif seperti informasi pribadi user dari database. (translate)
Sebagai bukti klaimnya, dia memberikan link ke private theard sebelumnya yang ada di forum Team Insecurity Romanias (ISR) dimana vulnerability tersebut telah dibahas sejak 3 Januari 2011.
Pengungkapan TinKode juga mencakup informasi seperti password beberapa database dan account blog, termasuk didalamnya Robin Schumacher, direktur manajemen produk MySQL.
Password blog Schumacher hanya terdiri dari empat digit, itulah sebabnya mengapa cracking hash dengan mudah dilakukan. Password Kaj Arno, mantan wakil presiden MySQL Community in the Database Group at Sun Microsystems, juga diungkap.
TinKode sebelumnya juga memngungkap vulnerability serupa pada situs UK Royal Navy, NASA dan U.S. Army. Dia juga bertanggung jawab dalam mengungkapkan XSS vulnerability pada YouTube dalam komentar YouTube yang di-exploit oleh anggota 4chan untuk mentargetkan fans Justin Bieber setahun yang lalu.
Inseden itu membuktikan betapa umumnya keberadaan vulnerability. Jika pencipta MySQL, database engine yang paling banyak digunakan di dunia, tidak dapat mengamankan situs mereka sendiri melawan serangan SQL Injection, apakah wajar harapan keamanan dapat dilakukan oleh website yang tidak dijalankan oleh para ahli?
Ini menunjukan bahwa SQL Injection adalah vaktor serangan yang sangat berbahaya. Tidak seperti cross-site scripting, yang dapat digunakan untuk meng-inject kode nakal ke web page, vulnerability pada SQL Injection juga bisa dimanfaatkan untuk mengambil data sensitif seperti informasi pribadi user dari database. (translate)
0 komentar:
Post a Comment