Ningún sitio web es siempre 100% seguro todo el tiempo. Hay un corto período de tiempo entre el descubrimiento de una vulnerabilidad y la aplicación de un parche, y al mismo tiempo un grupo de hackers o cualquier persona con malas intenciones puede atacar a un sitio de determinado servidor conociendo el error durante ese periodo de prueba. Fue uno de estos fallos el que permitió un ataque fuerte contra un sitio web conocido, MySQL.com.

Los hackers hicieron lo que se conoce como inyección de SQL (SQL injection en inglés). Los autores enviaron al sitio en un formulario un comando que, al no ser interpretado por el sitio, puede ofrecer datos que antes eran ocultos. Y fue lo que sucedió en el caso de las bases de datos de MySQL.com, irónicamente, el sitio web creador de las bases de datos de código abierto SQL.

El responsable del hackeo publicó todo los datos que había obtenido, lo que incluía no solamente nombres de sus BDs y sus campos sino también usuarios y contraseñas encriptadas por diferentes sistemas criptográficos. Poco más tarde, la BD de Sun.com, que compró la empresa detrás de MySQL, también quedó comprometida.

Las bases de datos MySQL son ampliamente utilizados en varios sitios, desde blogs personales hasta sitios gubernamentales. La conocida plataforma de administración (CMS) de WordPress, por ejemplo, utiliza bases de datos de este tipo para almacenar todo tipo de información sobre usuarios, entradas y comentarios.

Según se ha comentado, la forma de acceder inicialmente a una parte de la anatomía del código fue por la cooperación de un interno que había vendido su acceso por 3000 dólares al grupo de hackers que perpetró el efectivo ingreso.