Une société X vend des produits sur internet. Au moyen d'une vulnérabilité présente dans le système de gestion des entrées utilisateurs, un pirate accède à la base de données du site internet. Il lui est possible d'en visualiser l'intégralité, dont les données stratégiques comme les comptes clients, les ventes, etc. Ces données peuvent être revendues à la concurrence ou à des organisations criminelles.

Il remplace ensuite la page de paiement du site internet par sa propre page, hébergée sur un serveur étranger, qui lui permet de récupérer l'ensemble des données bancaires des clients. La réputation de l'entreprise est alors dûment compromise et des pertes financières s'ensuivent liées à la non réception des paiements.

Le pirate utilise en outre le site pour infecter les machines des clients avec des virus. La notoriété de l'entreprise est à nouveau mise en péril.

Enfin, l'espace de stockage du site internet est détourné pour héberger des contenus illicites. La société X pourra être soupçonnée de distribuer ce contenu intentionnellement. La responsabilité du propriétaire du site pourra être engagée.

Après la découverte de ces activités malveillantes, la société X a dû changer tous les mots de passe d'administration, rétablir toutes les sauvegardes en vérifiant leur non-compromission, avertir les clients afin qu'ils modifient leur mot de passe, déposer plainte.

L'entreprise a pris conscience de la problématique de sécurité trop tardivement. Ces événements, dramatiques pour la survie de l'entreprise, auraient pu être évités grâce à un audit de sécurité du site internet.