SQL Injection: Атаки в реальной жизни и как это вредит бизнесу

Один-единственный вредоносный запрос может нанести ущерб вашему бизнесу. Уязвимости вашего кода могут привести к:

Значительной краже данных
Потеря доверия ваших клиентов
Финансовые потери для вас и ваших пользователей
Серьезные штрафы от регулирующих органов
Попадание в черный список Google

...Бренд, трафик, деньги, отношения с клиентами, сайт и даже бизнес могут быть потеряны в одно мгновение.

За последние 20 лет многие атаки с использованием SQL-инъекций были направлены на крупные и мелкие веб-сайты, бизнес и платформы социальных сетей. Некоторые из этих атак привели к серьезным утечкам данных. Несколько ярких примеров приведены ниже.

Взломы, вызванные SQL-инъекцией

Похищено более 100 миллионов записей о платежных картах. 200 миллионов долларов выплачено в качестве компенсации

Heartland , компания, специализирующаяся на платежных, кассовых и зарплатных системах, подверглась атаке SQL-инъекции. Heartland понесла непоправимый ущерб, потеряв значительную часть клиентов и выплатив более 200 миллионов долларов в качестве компенсации. В течение нескольких месяцев после инцидента цены на их акции упали на 77%.

Кража данных на 5 миллионах веб-сайтов

В 2021 году было обнаружено, что WooCommerce, популярный плагин электронной коммерции для WordPress CMS, несколько своих плагинов, функций и версий программного обеспечения были уязвимы к SQLi , в результате чего произошло несколько атак. Неисправленные дефекты в плагине подвергли краже данные 5 миллионов веб-сайтов. Ссылка .

Хакеры украли 8,3 млн записей с помощью SQL-инъекции

В 2020 году компания Freepik, один из крупнейших в мире сайтов графических ресурсов с 18 миллионами ежемесячных уникальных пользователей, сообщила, что хакеры смогли украсть электронную почту и хэши паролей 8,3 млн. пользователей Freepik и Flaticon в результате атаки SQL-инъекции на сайт компании Flaticon. Ссылка

Украдены личные данные 36 000 человек

Хакеры атаковали 53 университета, используя SQL-инъекции, украли и опубликовали 36 000 личных записей, принадлежащих студентам, преподавателям и сотрудникам.

Похищено 130 миллионов номеров кредитных карт

Группа злоумышленников использовала SQL-инъекции для проникновения в корпоративные системы нескольких компаний, в основном сети магазинов 7-Eleven, похитив 130 миллионов номеров кредитных карт.

Пострадали 1500 клиентов

Компания Kaseya, поставщик ИТ-решений для MSP и корпоративных клиентов, стала жертвой атаки с использованием вымогательского ПО в 2021 году. Злоумышленники использовали непропатченные SQL-уязвимости в серверах VSA компании, в результате чего пострадали более 1500 клиентов Kaseya.

Заметные уязвимости SQL-инъекций

3 миллиона сайтов WordPress имели уязвимость из-за критического дефекта SEO-плагина

Две критические уязвимости безопасности высокой степени серьезности в популярном плагине "All in One" SEO WordPress подвергли более 3 миллионов сайтов атакам поглощения. Ссылка

SQLi позволяет получить доступ к 350 миллионам учетных записей пользователей

Fortnite - это онлайн-игра с более чем 350 миллионами пользователей. В 2019 году была обнаружена уязвимость SQL-инъекции, которая могла позволить злоумышленникам получить доступ к учетным записям пользователей. Уязвимость была исправлена.

Уязвимость Tesla

В 2014 году исследователи безопасности обнародовали информацию о том, что им удалось взломать сайт компании Tesla с помощью SQL-инъекции, получить административные привилегии и украсть данные пользователей.

Уязвимость Cisco

В 2018 году в Cisco Prime License Manager была обнаружена уязвимость SQL-инъекции. Уязвимость позволяла злоумышленникам получить shell-доступ к системам, на которых был развернут менеджер лицензий. Компания Cisco исправила уязвимость.

Уязвимости в плагине, используемом в более чем 100 000 активных сайтов

В декабре 2022 года плагин для онлайн-курсов WordPress 'LearnPress' был уязвим к многочисленным дефектам критического уровня, включая SQL-инъекцию с предварительной авторизацией и локальное включение файлов. Ссылка