De hack bij de Britse provider TalkTalk was mogelijk doordat de aanvallers een sql-injectie deden op een oude webpagina. Die oude webpagina hoorde bij de provider door een overname van de Britse tak van Tiscali in 2009.
De sql-injectie was onder meer mogelijk doordat de databasesoftware verouderd was en de leverancier ondersteunde die versie van de software niet eens meer, schrijft de Britse toezichthouder ICO. De sql-injectie was mogelijk op drie webpagina's die gelinkt waren aan de database die voorheen van Tiscali was. Er waren voor de hack in oktober vorig jaar al twee eerdere pogingen gedaan, maar de provider had die niet opgemerkt. Dat kwam doordat TalkTalk de pagina's niet monitorde.
De aanval was makkelijk te voorkomen geweest met de juiste beveiligingsmaatregelen, aldus ICO. Daarom oordeelt het dat TalkTalk zich niet aan de wettelijke verplichting voor het beveiligen van gebruikersdata heeft gehouden en heeft de provider veroordeeld tot het betalen van een boete van 400.000 Britse ponden, momenteel omgerekend ongeveer 455.000 euro. In Nederland is sinds dit jaar een dergelijke boete ook mogelijk vanwege het verwaarlozen van de beveiliging met de diefstal van klantdata tot gevolg.
Bij de hack waarvan TalkTalk slachtoffer werd in oktober vorig jaar zijn de gegevens van ongeveer 150.000 klanten gestolen. Daarbij gaat het mogelijk om gegevens zoals telefoonnummers, e-mailadressen en bankgegevens. De drie verdachten die de politie arresteerde, kunnen een gevangenisstraf krijgen. TalkTalk verloor na de hack tientallen miljoenen ponden aan kosten en 95.000 klanten.