MySQL não faz lição de casa

[ad#texto]
Sistemas 100% seguros são pura lenda, eu já cansei de afirmar isso. Mas um sistema de uma grande corporação deve no mínimo respeitas os princípios básicos de segurança em desenvolvimento de software Web e é isso que o pessoal que desenvolve o sistema do site mysql.com mostrou não saber ou não querer fazer.

Hoje foi noticiado que o site mysql.com foi invadido de uma das formas mais idiotas que existem, via SQL Injection.

O pior é que a equipe de desenvolvimento além de não fazer nenhum tipo de filtragem para os dados oriundos da Internet (usuário) também deve executar o usuário de acesso ao banco pelo servidor Web com altos privilégios, não consegui acesso ao tipo de comando que executaram, mas pelo que dizem as más línguas não foi um usuário completamente capado do banco de dados.

Vários dados foram roubados, tanto de usuários do site como de funcionários internos.

As senhas estão criptografadas, porém as quebras de senhas já começaram a ocorrer.

A recomendação por hora é que todos os usuários que tenham cadastro no mysql.com alterem suas senhas e que se estas senhas são iguais as de outros serviços que alterem destes serviços também.

Fonte: Tecnoblog[ad#texto][ad#texto]

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.