Una de las bases de datos más extendidas en muchas aplicaciones web es MySQL, un sistema de gestión de bases de datos relacional, multihilo y multiusuario que se distribuye bajo licencia GNU GPL siempre que la utilización sea compatible con esta licencia.
Creo que es complicado atreverse a dar una cifra de las instalaciones de MySQL que hay desplegadas pero, teniendo en cuenta la cantidad de aplicaciones que la utilizan, enterarnos que el sitio MySQL.com ha sido hackeado y ha estado redirigiendo a los usuarios a sitios web repletos de malware, la verdad, a uno se le hace un nudo en el estómago.
Según ha publicado la firma de seguridad Armorize, la web MySQL.com habría sido infectada con un script que redirigía a los visitantes a un sitio web armado con el BlackHole exploit pack, un pack de herramientas que buscan vulnerabilidades conocidas en múltiples aplicaciones y navegadores (y que por 1.500 dólares anuales podemos comprar una licencia):
Intenta explotar vulnerabilidades en la plataforma que se utiliza para navegar (el navegador, plugins como Adoble Flash, Adobe PDF, Java, etc) y, si lo logra, entonces deposita malware en el equipo de la víctima sin que éste se de cuenta. El visitante no tiene que aceptar nada o hacer click en algún mensaje, simplemente al visitar MySQL.com con una plataforma vulnerable se infectará directamente.
Pero la cosa no acaba aquí, si el hecho de que MySQL.com haya sido comprometido es algo grave, peor es la segunda parte de esta historia. Resulta que en algunos foros underground de Rusia se habría estado moviendo este ataque y la persona (o personas) que fue capaz de acceder a los servidores del sitio web habría estado vendiendo “entradas” a 3.000 dólares, es decir, comprar la posibilidad de acceder a este sitio web (también con fines nada bondadosos) por poco más de 2.200 euros. Curiosamente, el foro en el que se anunció la venta incrementó su tráfico llegando a tener 39.000 usuarios por día (12 millones mensuales), así que parece que el anuncio llamó la atención de bastante gente.
Desde Armorize, la empresa que ha hecho saltar la voz de alarma, aseguran que la infección fue eliminada al poco de lanzar ellos su nota avisando del tema, sin embargo, aún quedan por aclarar varios aspectos que llevarán mucho más tiempo, por ejemplo, cómo fue posible que esto sucediese o cuánto tiempo ha estado ocurriendo. Se cree que quizás la infección estuviese activa no más de 7 horas, una ventana de tiempo lo suficientemente amplia como para que hayan entrado 120.000 usuarios al sitio web y hayan sido expuestos a esta trampa.
Fuente: bitelia.com