Con il termine SQL injection si è soliti indicare una particolare azione, effettuata da hacker esperti, che colpisce tutte quelle applicazioni Internet che si appoggiano su database di tipo SQL. Recentemente il sito MySQL.com ha subito un attacco attraverso il quale, i cybercriminali, hanno pubblicato i dati immagazinati all’interno del database. Solitamente questi attacchi utilizzano un exploit in grado di sfruttare l’inefficienza dei controlli sui dati ricevuti in input, in maniera tale da inserire del codice maligno all’interno di una query SQL.
I criminali informatici sono così riusciti a dimostrare quanto la sicurezza informatica del sito Internet fosse assai discutibile. In particolar modo le critiche sono state lanciate sulla scelta delle password assai semplici da individuare, ad esempio solo quattro cifre per quella usata dal Director of Product Management.
Sulla Full Disclosure Mailing List sono state diffuse user e password utilizzate. Tuttavia è importante precisare come questo attacco non abbia sfruttato alcuna vulnerabilità presente in MySQL, ma ha fatto leva su alcuni errori commessi in fase di implementazioni del database.
La stessa tecnica è stata recentemente utilizzata contro Tripadvisor, dove attraverso l’SQL injection sono stati sottratti gli indirizzi di posta elettronica.
