אם אתם גולשים ברשימה קבועה של אתרים מוכרים, וחושבים לעצמכם שככה אתם בטוחים מרושעות - אתם טועים. אתמול חשפה חברת האבטה "סופוס" כי האקרים מרוסיה הצליחו לשתול קוד זדוני באתר המגזין "ביזנס-וויק".

 
הפורצים השתמשו בשיטת "זריקת SQL", במסגרתה נשלח ("מוזרקת") סקריפט זדוני לתוך מאגר נתונים שממנו ניזון אתר מסויים, כדי להחדיר לתוך אחד המדורים ב"ביזנס-וויק" קוד המפנה לאתר רוסי (או "אתר עם דומיין רוסי", כפי ש-CNET כתבו בהתקף פוליטיקלי-קורקטיות), העשוי להוריד אל מחשבי הקוראים רושעות שונות. כל זאת, ללא שהקורא יידע שהדפדפן שלו תהה אל אתר שאינו "ביזנס-וויק". האתר, אגב, לא עובד כרגע, אך הוא עשוי לעלות חזרה לרשת בכל רגע.

 
גראהם קלולי, יועץ טכנולוגיה ראשי ב"סופוס", סיפר ל-CNET כי "סופוס" עדכנה את המגזין בקשר לקוד הזדוני, אך על פי בדיקת CNET, הקוד עדיין נמצא שם. "ביזנס-וויק" מתחמקים מתגובה, אך נראה כי הם פשוט אינם ממהרים להוריד את הקוד, מאחר וכלל לא ידוע כמה זמן הוא כבר היה שם עד הגילוי של "סופוס".

 
קלולי אמר עוד כי התקפות מסוג SQL Injection הן ההתקפות הפופולאריות ביותר ברשת, מאחר והן סמויות לחלוטין, והמשתמשים פשוט לא יודעים שהם מותקפים. שיעור ההתקפות מסוג זה במחצית הראשונה של 2008 גדל פי שלושה מבתקופה המקבילה אשתקד, ובממוצע מגלה "סופוס" אתר נגוע נוסף בכל 5 שניות. אגב, רוב "זריקות ה-SQL" מחדירות למחשבי הגולשים תוכנות המתחקות בעיקר אחר פרטי חשבונות בנקים וכרטיסי אשראי. את החומר שנאסף מוכרים ההאקרים לכל המרבה במחיר על גבי פורומים מחתרתיים ובאתרי מכרזים, והקונים הם אלה שמשתמשים בו כדי להעביר כסף מחשבונות הבנק של הגולשים או ליצור עותקים של כרטיסי האשראי שלהם.

לבלוג של יאיר מור