Un experto en seguridad informática considera que nueve de cada diez bases de datos de Oracle son vulnerables a un ataque que podría dar a los hackers el acceso y control de los sistemas de base de datos del gobierno y las empresas sin la necesidad de una identificación de usuario o contraseña.

David Litchfield, jefe de investigación en NGSSoftware, una compañía con sede en Reino Unido, dijo haber informado a Oracle de la vulnerabilidad en noviembre, pero ésta no fue solucionada con los parches de seguridad de enero. De este modo el investigador decidió hacerlo público durante la conferencia Black Hat que tuvo lugar la semana pasada en Washington.

Litchfield dijo exactamente que esta vulnerabilidad «permite a un atacante sin un ID de usuario y contraseña tomar el control completo. Todos los servidores de seguridad se vuelven irrelevantes». Aunque es posible prevenir el exploit cambiando la configuración por defecto del software, Litchfield cree que nueve de cada diez bases de datos son vulnerables. Añadió que no hay manera de saber si los hackers ya se han aprovechado de la vulnerabilidad para acceder a las bases de datos.

Black Hat ha retirado el vídeo de David Litchfield donde se mostraba el código y Oracle, de momento, no ha hecho comentario alguno al respecto.