SQL-Injection bestaat deze week precies dertien jaar, reden voor Security.nl om de geschiedenis van deze aanvalstechniek te bekijken, maar ook de gevolgen. Een aantal van de grootste datalekken in de geschiedenis hebben via SQL-Injection plaatsgevonden. Als het gaat om het stelen van grote hoeveelheden gegevens blijft dit de favoriete werkwijze van cybercriminelen.

Security.nl zette een aantal van de grootste beveiligingsincidenten sinds het ontstaan van het internet op een rij. Bij de meeste van deze incidenten staat vast dat SQL-Injection de boosdoener was. Veel gehackte bedrijven en organisaties waarbij databases worden gestolen, laten echter niet weten hoe de aanvallers binnen wisten te komen.

10. Organisatie: Petco
    Buit: 500.000 creditcardgegevens
    Hoe, wat en waar: Online dierenwinkel Petco werd verrast door een hacker die op eenvoudige wijze de gegevens van klanten bemachtigde, waaronder 500.000 creditcardgegevens. De Amerikaanse Federal Trade Commission stelde vast dat de website kwetsbaar voor SQL-Injection was en dat de webwinkel geen redelijke of gepaste maatregelen had genomen om bekende hackeraanvallen te voorkomen. De dierenwinkel kwam een schikking overeen, dat het de beveiliging door een derde partij zou laten auditen en dat het geen misleidende claims over de bescherming van persoonsgegevens meer zou maken.

9. Organisatie: Sony
   Buit: 1.000.000 en nog wat
   Hoe, wat en waar: Sony was in 2011 de speelbal van Anonymous, LulzSec en hackers die keer op keer via SQL-Injection klantgegevens wisten buit te maken. Bij één van de eerste aanvallen van LulzSec wees het hackercollectief op de eenvoud van het lek waardoor men de gegevens bemachtigde. "Eén van de oudste en meest voorkomende beveiligingslekken, zoals we nu zouden moeten weten. Waarom stel je zoveel vertrouwen in een bedrijf dat zichzelf aan zulke eenvoudige aanvallen blootstelt." Uiteindelijk zouden nog vele databases volgen.

8. Organisatie: Gawker
   Buit: 1.300.000 gebruikersnamen en wachtwoorden
   Hoe, wat en waar: De Amerikaanse mediawebsite Gawker.com en dochterwebsites Gizmodo.com en Lifehacker.com werd in 2010 door een groep hackers vanwege "de eigen arrogantie" gestraft. Ook liet Gawker media zich kritisch uit over WikiLeaks-voorman Assange. De aanvallers gingen er uiteindelijk met 1,3 miljoen gebruikersgegevens vandoor. De wachtwoorden waren wel versleuteld, maar de gebruikte 34-jaar oude encryptie was vrij zwak. Daardoor werden 500.000 wachtwoorden ontsleuteld en online gezet. Gawker bleek naast de kwetsbaarheid voor SQL-Injection nog meer zwakheden te hebben, zoals hier mooi opgesomd.

7. Organisatie: Publieke Omroep
   Buit: 2.300.000 privégegevens
   Hoe, wat en waar: Hoeveel de meeste lekken in deze Top 10 uit de Verenigde Staten afkomstig zijn, wist de Publieke Omroep nog net op tijd een vermelding te krijgen. Door een beveiligingslek in het beheersysteem waren 2,3 miljoen privégegevens toegankelijk, zoals e-mailadressen, adresgegevens, namen en telefoonnummers. De hacker wist via een SQL Injection-lek in de oude versie van het content management systeem (cms) ABC Manager toegang tot de privégegevens te krijgen. Verder bleek dat één van de beheerderswachtwoorden op alle 160 websites werkte.

6. Organisatie: Hannaford (Hannaford Bros)
   Buit: 4.200.000 creditcardgegevens
   Hoe, wat en waar: De Amerikaanse supermarktketen Hannaford werd ook bezocht door Gonzalez en kornuiten. Het bedrijf ontdekte op 27 februari 2008 een lek in het netwerk. De aanvallers bleken echter al sinds 7 december actief te zijn en het probleem werd pas op 10 maart in z'n geheel verholpen. "De aanval op onze systemen, waarvan we geloven dat ze tot de beste in de industrie behoren, spijt ons ten zeerste," zo liet de supermarkt in een verklaring weten. Het beveiligingsincident werd omschreven als één van de grootste ooit, en trof alle 165 supermarkten van de keten.

5. Organisatie: Ameritrade
   Buit: 6.300.000 creditcardgegevens
   Hoe, wat en waar: Online handelsplatform Ameritrade waarschuwde in september 2007 dat aanvallers een database hadden gehackt met de namen, adresgegevens, telefoonnummers en handelsinformatie van meer dan zes miljoen klanten. De zaak kwam aan het rollen toen klanten klaagden dat ze allerlei 'pump-en-dump' spamberichten ontvingen, waarin zogenaamd interessante aandelen werden aangeboden. De werkwijze van de aanvallers werd nooit geopenbaard, maar verschillende experts stellen dat het om SQL Injection gaat. Als goedmakertje wilde Ameritrade alle getroffen klanten een virusscanner geven.

4. Organisatie: RockYou
   Buit: 32.000.000 wachtwoorden
   Hoe, wat en waar: Gebruikers van de RockYou widget voor Facebook en MySpace moesten eind 2009 hun wachtwoord wijzigen nadat een aanvaller de database van de ontwikkelaar via SQL-Injection had gestolen. Bijkomend probleem was dat de wachtwoorden onversleuteld, in platte tekst waren opgeslagen. RockYou bewaarde in de eigen database namelijk ook de inloggegevens van andere partnersites. De website zou tevens het gebruik van korte wachtwoorden van 5 tot maximaal 15 karakters hebben toegestaan. In een verklaring stelde RockYou dat het de privacy van gebruikers zeer serieus neemt.

3. Organisatie: CardSystems Solutions
   Buit: 40.000.000 creditcardgegevens
   Hoe, wat en waar: CardSystems Solutions is een Amerikaanse verwerker van creditcardbetalingen. In juni 2005 waarschuwt MasterCard dat een partner van het bedrijf is gehackt. Het blijkt om CardSystems te gaan, dat jaarlijks voor 15 miljard dollar aan creditcardtransacties voor 119.000 winkels verwerkt. De aanval werd omschreven als de grootste hack in de geschiedenis, een titel die het twee jaar later kwijtraakt. Uit onderzoek van de Amerikaanse Federal Trade Commission blijkt dat een aanvaller in september 2004 via SQL Injection toegang tot het netwerk krijgt en daar software installeert. De software slaat elke vier dagen de informatie van de magneetstrip van creditcards op, die van computers buiten het netwerk afkomstig is.

2. Organisatie: TJ Maxx
   Buit: 94.000.000 creditcardgegevens
   Hoe, wat en waar: T.J. Maxx is een grote Amerikaanse kledingketen met meer dan 990 winkels. In 2007 meldt het bedrijf dat aanvallers ruim achttien maanden toegang tot het netwerk hadden. Via zwakke WiFi-beveiliging en SQL Injection worden volgens TJX 46 miljoen creditcardgegevens gestolen. Later blijken dit er 94 miljoen te zijn. TJ Maxx had niet door dat er voor 80GB aan gegevens werden gestolen. Aanvallers frauderen voor meer dan 1 miljoen dollar met de gestolen kaartgegevens. Uiteindelijk blijkt dat de aanval het werk is van Albert Gonzalez en verschillende andere criminelen. Gonzalez blijkt voor nog meer aanvallen verantwoordelijk te zijn. De programmeur die de sniffer voor Gonzalez ontwikkeld, wordt uiteindelijk tot een gevangenisstraf van twe jaar en een boete van 120 miljoen euro veroordeeld.

1. Organisatie: Heartland Payment Systems
   Buit: 130.000.000 creditcardgegevens
   Hoe, wat en waar: Heartland Payment Systems is een Amerikaanse betalingsverwerker die voor 250.000 bedrijven de betalingen verwerkt. Eind 2008 ontvangt het bedrijf verschillende meldingen dat er creditcardgegevens gestolen zijn. De aanval is het werk van Albert 'Soupnazi' Gonzalez en kornuiten. Via SQL Injection weet hij toegang tot verschillende netwerken te krijgen waar hij malware plaatst. De malware geeft hem toegang tot de creditcardgegevens. Uiteindelijk wordt Gonzalez gepakt en bekent hij schuld. Vorig jaar maart wordt hij tot een gevangenisstraf van twintig jaar veroordeeld.

• Organisatie: Oracle
  
• Buit: Onbekend aantal accounts (35 accounts bevestigd)
  Hoe, wat en waar: De aanvaller gebruikte mogelijk de "customer view applicatie" als startpunt voor de aanval. Vervolgens kreeg hij daar vandaan toegang tot de interne databases, tabellen en wachtwoorden. Klanten met een account op MySQL.com kregen het advies hun wachtwoord zo snel als mogelijk te wijzigen. Oracle en MySQL zwegen zowel op de eigen website als op Twitter over de aanval.