Een webwinkel die de beveiliging niet goed op orde had, waardoor hackers via een SQL-injectie aanval klantengegevens konden stelen, is door de Amerikaanse Federal Trade Commission bestraft. Aanvallers wisten in de eerste helft van 2007 meerdere keren in te breken bij "Nerd winkel" Geeks.com, dat dit pas in december ontdekte. De gestolen buit bestond uit creditcardgegevens, zoals verloopdatum en verificatienummer, adresgegevens, telefoonnummer, naam en e-mailadres van talloze klanten.
Volgens de aanklacht bewaarde de webwinkel tot december 2007 vertrouwelijke informatie op onversleutelde wijze op het netwerk. Ook voerde het geen testen op de beveiliging van de website uit of die wel tegen bekende aanvallen, zoals SQL-injectie, bestand was. De FTC stelt dat winkels verplicht zijn om de gegevens van hun klanten op een redelijke wijze te beschermen, iets waar Geeks.com in faalde. Door het niet voorkomen van SQL-injectie is de winkel dan ook in gebreke gebleken. Ook had het geen maatregelen genomen om ongeautoriseerde toegang te detecteren en te voorkomen.
De winkel moet nu een reeks uitgebreide beveiligingsmaatregelen nemen en zich de komende tien jaar elk jaar door een onafhankelijke, gekwalificeerde auditor laten inspecteren. Daarnaast mag het geen misleidende privacy en security uitspraken doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.