Een 32-jarige Oekraïense man die door middel van SQL Injection miljoenen creditcardgegevens buitmaakte om die vervolgens op internet te verkopen is in de Verenigde Staten veroordeeld tot een gevangenisstraf van 69 maanden, wat overeenkomt met de tijd die hij al vastzat. Ook moet hij één getroffen slachtoffer een vergoeding van 1,8 miljoen dollar betalen.

Volgens de Amerikaanse autoriteiten gebruikten de verdachte en zijn handlangers 'een hackingtechniek die bekendstaat als een "SQL Injection-aanval"', om zonder toestemming toegang tot netwerken te krijgen. Vervolgens werden creditcardgegevens en andere persoonlijke identificeerbare informatie gestolen. De buitgemaakte data werd daarna op meerdere online marktplaatsen verkocht. Het geld werd door de verdachte witgewassen.

De man, die in de VS woonde, werd in maart 2019 op het John F. Kennedy International Airport in New York aangehouden en zat sindsdien vast. Afgelopen september bekende hij schuldig te zijn. In theorie had de man een gevangenisstraf van tientallen jaren kunnen krijgen. De rechter besloot echter rekening met zijn mentale gezondheid te houden, die in de gevangenis sterk achteruit ging (pdf).

Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren, wat vaak mogelijk is omdat gebruikersinvoer niet goed wordt gevalideerd. SQL-Injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.