Стоимость одной неприкрытой SQL-инъекции

В своем последнем финансовом отчете, Heartland Payment Systems сообщила, что понесла убытки в размере 129 миллионов долларов по причине произошедшего инцидента в прошлом году. Heartland Payment Services выступает как стандартный банковский провайдер для почти 250 тысяч организаций. Инцидент был связан с крупной кражей данных кредитных и дебетовых карт, которая стала возможной, по причине использования злоумышленником самой обыкновенной SQL-инъекции :) А ведь Heartland Payment Systems - PCI Compliant.

Выдержка из интервью с Боб Руссо (Bob Russo), генеральным директором PCI Security Standards Council:

"But I thought Heartland executives said they were compliant.
They had that piece of paper that said they were compliant but they weren't. What happened at Heartland was a SQL injection attack [in which an attacker injects commands to a back end database using input fields on a Web site]. That's an old exploit and there are myriad ways to prevent that outlined in the standards. As it turns out they were not complaint at the time of the breach. [Heartland CEO Robert Carr eventually disclosed that the assessors had incorrectly informed the company that it was PCI compliant.]"

Компания Heartland Payment Systems также добавила, что она все еще имеет резерв в размере 100 миллионов долларов на покрытие дополнительных расходов.

Таким образом, SQL-инъекция для Heartland Payment Systems может стоить $229 миллионов.

Ссылки:
- Утечка данных в платежной системе Heartland
- Интервью с Боб Руссо (Bob Russo)
- Стоимость нарушения, Heartland Payment Systems