Angreifer brachen auf die Webseite MySQL.com ein, auf denen Kundendaten von Oracle gespeichert sind. Oracle hatte 2010 die Datenbankfirma MySQL übernommen. Betroffene Domains waren www.mysql.com, www.mysql.fr, www.mysql.de, www.mysql.it und www-jp.mysql.com.

Der Einbruch wurde mit einem sog. Blind-SQL-Injection-Angriff durchgeführt. Das ist eine Art von SQL-Injection, bei der nur durch unterschiedliche Fehlermeldungen des Servers auf das Ergebnis der eingeschleusten SQL-Kommandos geschlossen werden kann. Es gibt keinen direkten Hinweis, ob ein eingeschleustes Kommando erfolgreich war, deswegen auch „blind“. Diese Art von SQL-Injection ist deswegen schwieriger auszuführen als normales SQL-Injection.

Der Hacker publizierte Zugriffskennungen, Passwörter und gehashte Passwörter von verschiedenen Datenbanknutzern auf dem Server.

Artikel von h-online.com, 28.03.2011: MySQL allegedly hacked – via SQL injection
Artikel von computerworld.com, 28.03.2011: MySQL Web site falls victim to SQL injection attack