Drie jaar geleden werd de website van de Verenigde Naties via SQL-injectie gehackt, maar de problemen zijn nog altijd niet opgelost. Vorig jaar werd de blogposting van Robert Graham dat het lek in kwestie nog steeds openstond door Slashdot opgepakt, wat er mogelijk voor zorgde dat het specifieke SQL-injectie-lek waardoor de aanvallers de pagina wisten te bekladden uiteindelijk werd opgelost.

Oplossing
Toch zit de website zelf nog vol met SQL-injectie problemen. Het toevoegen van een enkele quote genereert een foutmelding waaruit dit blijkt, aldus Graham. "Ik kijk al uit naar de posting van volgend jaar." Volgens de beveiligingsexpert zijn eruit het incident twee belangrijke lessen te leren: "De eerste is dat het niet uitmaakt hoe eenvoudig de oplossing is, organisaties zoals de VN kunnen die niet uitvoeren. Ondanks dat een stagiair de bug binnen 5 minuten kan oplossen, zorgt de bureaucratie ervoor dat de organisatie tienduizenden dollars moet spenderen om een fix uit te rollen."

De tweede les is dat de kosten van het niet verhelpen van het lek lager zijn dan het oplossen ervan. "De VN kan met het probleem leven en na elke hack de boel opruimen." Ondanks de ernst van dit soort lekken, zouden ze niet vaker dan een of twee keer per jaar gehackt worden. "Deze twee zaken betekenen dat het goedkoper is voor de VN om na elke hack de boel op te ruimen, dan het probleem te verhelpen, althans, zo denkt het management."