Сайт MySQL.com был взломан с помощью техники, использующей уязвимости в самой SQL. Конкретно техника называется SQL injection и заключается в том, что хакеры добавляют к адресной строке браузера специальные строки, которые обрабатываются сервером и позволяют злоумышленнику выполнять команды и получать доступ к управлению сайтом.
Для подтверждения факта взлома, хакеры выложили список пользователей и хэши их паролей на сайте pastebin.com. Из этого перечня стало известно, что пароль директора по управлению продуктами в WordPress составлял всего 4 цифры, а у некоторых учетных записей пароли состояли всего из нескольких букв, например «qa». При этом пароли стали известны не потому, что были очень простыми, а потому что хакерам удалось найти уязвимость в системе защиты, которая наоборот является очень сложной и хорошо проверенной.
Компания Sun/Oracle, которой и принадлежит MySQL, также была атакована. Таблица с именами пользователей, их почтовые адреса также были украдены, однако без паролей, и даже без их хэшей.
Судя по всему найденная уязвимость не относится к ошибкам непосредственно в ПО MySQL, а связана со специфичными настройками сайта.