Стоимость одной неприкрытой SQL-инъекции

В своем последнем финансовом отчете, Heartland Payment Systems сообщила, что понесла убытки в размере 129 миллионов долларовпо причине произошедшего инцидента в прошлом году. Heartland Payment Services выступает как стандартный банковский провайдер для почти 250 тысяч организаций. Инцидент был связан с крупной кражей данных кредитных и дебетовых карт, которая стала возможной, по причине использования злоумышленником самой обыкновенной SQL-инъекции :) А ведь Heartland Payment Systems - PCI Compliant . Выдержка из интервью с Боб Руссо ( Bob Russo ), генеральным директором PCI Security Standards Council : "But I thought Heartland executives said they were compliant. They had that piece of paper that said they were compliant but they weren't. What happened at Heartland was a SQL injection attack [in which an attacker injects commands to a back end database using input fields on a Web site]. That's an old exploit and there are myriad ways to prevent that outlined in the standards. As it turns out they were not complaint at the time of the breach. [Heartland CEO Robert Carr eventually disclosed that the assessors had incorrectly informed the company that it was PCI compliant.]" Компания Heartland Payment Systems также добавила, что она все еще имеет резерв в размере 100 миллионов долларов на покрытие дополнительных расходов. Таким образом, SQL-инъекция для Heartland Payment Systems может стоить $229 миллионов. Ссылки: - Утечка данных в платежной системе Heartland - Интервью с Боб Руссо (Bob Russo) - Стоимость нарушения, Heartland Payment Systems