„Een website werkt met een voor- en achterkant. De voorkant is de website zoals internetters die zien. Als je op een website bijvoorbeeld een artikel aanklikt, dan wordt er een verzoek gestuurd naar de achterkant van de website, de database, om de relevante gegevens op te halen. Bij sommige sites, zoals die van Humannet, is deze communicatie niet goed genoeg beveiligd. Daardoor kan een aanvaller de url, een link naar bijvoorbeeld een artikel op een website, zodanig aanpassen dat hij hiermee een eigen commando naar de database stuurt. Dit noemt men een SQL-injectie.”

Doordat de aanvaller eigen commando’s naar de database kan sturen, heeft deze aanvaller indirect ook toegang tot de database en de gegevens die daarin zijn opgeslagen, zoals bij Humannet gebeurde. „Er is speciale software die het uitlezen van een complete database kinderlijk eenvoudig maakt en het mogelijk maakt om met slechts enkele muisklikken de complete inhoud van een database te stelen.”

„Hier ligt een duidelijke taak voor programmeurs. De kennis die nodig is om dit soort aanvallen te voorkomen is erg basaal, maar toch gaat het nog vaak fout. Ontwikkelaars moeten bij het schrijven van hun code goed controleren of ze beveiligingsmechanismes inbouwen die SQL-injecties verhinderen, zodat een database niet zomaar commando’s via een url accepteert. Hoewel echt niet iedere leek dit zomaar kan doen, is het beschamend dat dit soort beveiligingsfouten nog worden gemaakt.”