De Zuid-Koreaanse privacytoezichthouder PIPC (Personal Information Protection Commission) heeft twee bedrijven in het land beboet wegens datalekken veroorzaakt door SQL-injection en roept dataverwerkers op om invoervalidatie toe te passen. Het eerste bedrijf verzorgt online facturatie en claimt vier miljoen klanten te hebben. Bij de aanval werden onder andere namen, wachtwoorden, e-mailadressen en contactgegevens gestolen.

Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren, wat vaak mogelijk is omdat gebruikersinvoer niet goed wordt gevalideerd. SQL-Injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren. De Zuid-Koreaanse privacytoezichthouder stelde vast dat het bedrijf invoer niet goed valideerde. Ook werd er geen gebruikgemaakt van ip-gebaseerde access control lists (ACL's). Daarnaast werd het datalek niet tijdig bij de toezichthouder gemeld. Vanwege de overtredingen besloot de PIPC een boete van omgerekend 92.000 euro op te leggen.

Het tweede bedrijf biedt een online marktplaats voor kleding. Bij de aanval werden persoonlijke gegevens van klanten en verkopers gestolen, waaronder de Zuid-Koreaanse tegenhanger van het BSN-nummer. Wederom ontdekte de PIPC dat de website gebruikersinvoer niet goed valideerde waardoor SQL-injection mogelijk was. De website beschikte wel over een web application firewall (WAF), maar die stond uitgeschakeld. De toezichthouder legde het bedrijf een boete van omgerekend 46.000 euro op. De PIPC roept dataverwerkers in Zuid-Korea op om invoervalidatie toe te passen om zo SQL-injection tegen te gaan, alsmede het gebruik van een WAF.