요약
-블랙프라이데이, 사이버 먼데이 등의 연휴 쇼핑철과 맞물려 사이버 공격 기승.
-Carbon Black이 Holiday Threat Report에 따르면 작년에 비해 미국 연휴철 사이버 공격이 60% 증가했으며 그 중 사이버 먼데이에 공격 급증.
-2017년 연휴철 글로벌 단체를 대상으로 한 공격이 57.5% 증가(2016년 연휴철에는 20.5% 증가)
-올해 연휴철 공격의 큰 증감은 최근 미국 우체국이 6천만명의 이메일 주소, 계정 번호, 주소, 메일 광고 자료, 전화번호 등 기업 사용자에 대한 계정 세부정보가 1년동안 공개되었던 것과 연관이 있음.
-해당 취약점은 1년전 익명의 보안전문가가 발견해 신고했으나, Brian Krebs이 지난 주 미국우체국에 알리기 전까지 패치 되지 않았음.
-취약원인 : 실시간 배송 추적, 회사와 기관 광고를 위한 대량 이메일 발송을 제공하는 서비스 정보 시각화 기능에 사용되는 API 인증이 약함
취약점 : 미국우체국 사이트(USPS.com)에 로그인한 아무 사용자가 어떠한 인증 절차도 없이 검색 파라미터를 변경하여 누구든지 특정 단어들을 검색할 필요 없이 제공되는 모든 데이터를 요청할 수 있음.
-유출된 데이터는 소셜엔지니어링과 피싱 등에 악용될 소지가 큼.
-미국우체국은 현재 유출 데이터로 인한 피해는 없다고 밝혔으나, 왜 1년동안 취약점에 대한 패치를 하지 않았는지에 대한 언급은 없음.
-지난 주 아마존도 API 이슈와 관련해 사용자의 이메일 주소를 노출한 사건이 있었음.
영향성
API를 통해 다른 어플리케이션과 데이터에 접근이 가능해 해커들에게 점점 더 매력적인 공격 목표가 되고 있어 API관련 보안 대책 필요
참고자료
Carbon Black, Holiday Threat Report : https://www.carbonblack.com/2018-holiday-threat-report/
출처: https://threatpost.com/usps-amazon-data-leaks-showcase-api-weaknesses/139362/