해외 보안 트렌드

요약

-11/28일 Dell은 11월9일 Dell.com의 사용자 이름, 이메일주소, 해시된 패스워드를 네트워크에서 탈취하려는 공격을 탐지했다고 밟힘. 

-공격의 일부가 성공했을 가능성이 있으나, Dell이 조사한 결과 데이터가 유출된 것을 발견하지 못함.

-잠재적 공격에 대비해 모든 사용자의 패스워드를 리셋하도록 하고 패스워드를 해싱하기로 함.

-공격은 신용카드 정보를 목표하지 않았고, 공격은 Dell 홈페이지 서비스에 영향을 미치지 않음.

-최근 패스워드를 업데이트 하지 않은 사용자들에게 업데이트를 권고, Dell 계정 패스워드를 다른 웹사이트에도 쓴다면 해당 웹 페이지의 패스워드도 바꿀 것을 권고.

영향성

Dell.com 계정이 있는 사용자는 패스워드 업데이트가 필요함

참고자료

출처: https://www.dell.com/customerupdate

 https://www.zdnet.com/article/dell-announces-security-breach/#ftag=RSSbaffb68

<사건요약>

지난 1일 캐나다 우체국이 캐나다 Ontario Cannabis Store(온라인 대마 판매업체)의 거래내용을 처리하는 과정에서 4500명의 고객정보 유출

(4500명은 총 고객의 2% 해당함)

임의의 사용자가 실시간 배송조회서비스를 통해 온라인 대마 주문을 한 고객의 이름 혹은 이니셜, 생년월일, 우편번호, 배송일자, OCS참조 번호, 송장번호를 빼감.

<Ontario Cannabis Store 측 입장>

다행히 다른 주문 상세내역(배송 주소, 대금결제 주소 등), 

공격자는 유출된 데이터는 악의적으로 도용되지 않았으며 캐나다 우체국과만 내용을 공유한 뒤 삭제함.

모든 책임은 캐나다 우체국에게 있다고 책임 전가

(현재 온라인 샵은 배송지연, 결제대금 처리, 불만족스러운 고객서비스 등의 1000건이 넘는 컴플레인을 받고 있는 상태)

<논쟁점>

캐나다 우체국은 어떻게 데이터 유출이 일어났는지 설명하지 않음.

유출과 관련하에 신속하게 사건경위를 피해고객들에게 전하지 않음

대마판매가 합법이라고 할지라도 다들 사용 여부를 공개적으로 알리고 싶어하지 않은데 거리 내역이 유출되 파문

데이터 유출은 계약 협상 관련 캐나다 우체국의 대규모 교대 파업에 도중에 일어남.

이번 주 토론토의 가장 큰 처리센터가 파업에 들어가 '4500명'의 직원이 지난 화요일에 거리 시위에 참여함.

유출된 정보 숫자와 집회 참여 직원 수가 일치하는 데에 따라 말이 많음

*캐나다는 10월 17일  만 19세 이상의 성인에게 Ontario Cannabis Store을 통해 온라인 판매를 합법화 함

출처 : https://www.zdnet.com/article/canada-post-leaked-personal-data-orders-of-thousands-of-cannabis-smokers/#ftag=RSSbaffb68

   https://slate.com/technology/2018/11/canada-post-exposes-data-of-cannabis-buyers.html

BBC기사 원문: https://www.bbc.com/news/technology-46065796 

<BBC 보도내용>

해커 81,000 명의 사용자 메시지 대화 내용을 판매 중 

1억2000만명의 사용자 정보에 대한 접근이 가능하다고 주장 

(View As 기능 관련 페이스북 5000만명 정보유출에 대해 페이스북은 공식적으로 2900만명의 정보만 유출되었다는 주장과 상충)

피해계정 : 대부분이 러시아, 우크라이나 계정/일부: 브라질, 미국, 영국 계정

판매내용 : 계정 하나당 10 cent(약 112원)에 계정 정보, 개인 대화내역 등을 판매

판매데이터 : 연휴에 찍은 사진, 비디오, 개인 메시지 (예: 디페쉬 모드 콘서트(Depeche Mode)에 대해 나눈 대화, 

사위에 대한 불만을 토로하는 대화, 연인 간의 대화 등), 이메일 주소, 다른 민감한 정보

<판매 글에 게재된 판매 데이터 샘플 본 사진>

발견경위 : 9월 인터넷 포럼에서 FBSaler라는 이름으로 자료를 판매하는 것을 포착. BBC 러시아는 피해자중 5명과 연락해 그들의 개인 메시지가 유출된 것을 확인.

웹사이트 주소 및 IP 주소 정보 : 유출 데이터를 올려놓은 웹사이트는 러시아 상트페테르부르크(St. Petersburg)에 위치.

 IP 주소는 Cybercrime Tracker 서비스에 탐지된 것으로 나타남. 

탐지 이벤트는 LokiBot Trojan(공격자가 사용자의 패스워드에 대한 접근 권한이 가능함)

<책임소재> 

페이스북 입장 : 

보안이 뚫린 적이 없음. 따라서 해커는 브라우저 익스텐션을 통해 데이터를 획득했을 가능성이 있음.

페이스북 조사에 따르면 몰래 사용자의 정보와 대화내용을 해커에게 전달하는 등 

사용자의 활동을 감시하는 익스텐션 존재함 (익스텐션 이름은 밝히지 않음)

익스텐션의 악성 유무 체크에 실패함에 따른 브라우저 개발자에게 일부 책임이 있음. 

<BBC, 해커간 인터뷰>

BBC는 200만명의 계정 정보를 구매하고 싶다고 접근하여 위 정보 유출이 과거 Cambridge Analytica 관련 스캔들과 연관이 있냐고 질의함.

해커 답변: 관련 없음. 러시아 주정부 또는 인터넷 리서치 에이전시(크렘린과 관련된 해커 그룹)과도 연관이 없다고 밝힘.

BBC에서 기사를 다룸과 동시에 해당 유저는 판매를 중지하고 포스팅을 삭제함

페이스북 개인 메시지 유출에 대한 의심이 있을 시 : 사용자는 반드시 익스텐션>개인정보 섹션을 확인, 익스텐션에 대한 리뷰를 확인해 악성행동 유무 관찰,

<영향성> 

불필요한 익스텐션은 삭제 권고

출처 : http://www.ehackingnews.com/2018/11/personal-messages-of-81000-facebook.html?utm_source=dlvr.it&utm_medium=twitter

        https://www.hackread.com/hackers-selling-private-messages-hacked-facebook-accounts/

<사건경위>

피해규모 : 940만명 개인정보 유출. 유출정보는 개개인마다 다양함.

유출시점 : 지난 3월에 비인가자가 시스템에 접근한 것을 최초 발견, 5월에 고객 정보 유출을 확인

유출항목 : 여권상 이름, 국적, 생년월일, 휴대전화번호, 이메일 주소, 집주소, 여권번호, 신분증 번호, 항공사 멤버십 번호, 고객센터 메모, 여행 기록 정보, 86만명의 여권 번호, 24만5천명의 홍콩 신분증 번호, 403건의 만료된 신용카드 번호, 27개의 인증번호가 없는 신용카드 번호 유출

캐세이퍼시픽 측 입장 : 비밀번호는 유출되지 않았고 유출된 개인정보가 악용된 바가 없다고 밝힘

데이터 유출이 일어난 시스템은 비행 조정 시스템과 다른 것으로 비행 안전에는 어떠한 영향도 끼치지 않는다고 주장

데이터 유출의 피해자는 캐세이퍼시픽이 개별 연락을 취했으며, 정보 유출의 피해자라고 의심하는 사람은 infosecurity@cathaypacific.com 연락하길 권고

데이터 유출 사건과 관련한 조치사항 등은 www.infosecurity.cathaypacific.com 에서 확인 가능

<논란>

유출 건에 대해 통보를 하기 전 정확한 사건 경위를 파악하고 '불필요한 공포조장'을 막기 위해서 언론에 알리지 않았다고 하나, 

사건을 늦게 알리면서 피해자들은 약 5개월간 대처할 시간을 놓쳤다는 비난을 받고 있음. 유럽의 GDPR에 따르면 유출 사고가 있을 시 72시간안에 고지해야 함.

지난 9월있었던 British Airline은 데이터 유출 피해고객에게 금전적 보상을 약속했지만, 캐세이퍼시픽은 경제적 보상에 대한 아무런 말이 없는 것도 논란의 여지.

<영향성>

경영난: 데이터유출 사고가 기사화 되며 주가는 9년만의 6%이상 하락. 유출 이전에도 중국의 저가 항공사, 중동 항공사와의 경쟁으로 인해 매출의 저조한 상태로 지난 3월에는 연례 적자를 기록 경영진의 1/4을 포함해 600명의 인원 감축을 예고함

출처 : https://www.darkreading.com/vulnerabilities---threats/cathay-pacific-suffers-largest-airline-breach/d/d-id/1333128 

        https://www.securityweek.com/questions-mount-over-delay-after-cathay-pacific-admits-huge-data-leak

구글 50만명의 사용자 정보 유출로 인해 Google+ 소셜 미디어 네트워크를 폐쇄 결정

 유저네임, 이메일, 직업 생일, 프로파일 사진, 성별 등이 유출됨

 구글 플러스 서버는 API 관련 로그를 2주이상 보관하지 않기 때문에 해킹으로 인해 정확히 몇 명의 피해자가 있는지 알 수 없음

 구글 측에서는 개발자나 회사차원에서 이러한 버그를 알지 못했다는 점, 유출된 자료를 438명의 개발자들이 접근할 수 있었거나, 악의적으로 사용하지 않았다는 것을 확인함

 취약점 최초 발견 시점 : 2015년부터 오픈되어 있었으며 2018년 3월에 해결함. 그 당시 페이스북이 UK 캠브리지 애널리티카 스캔들 관련해서 비난받고 있던 시점이라 공개적으로 알리지 않고 숨김

출처 : https://thehackernews.com/2018/10/google-plus-shutdown.html

인스타그램 이용한 해킹툴, 해킹한 게임 계정등 거래 성행

DDOs 공격용 미라이 베이스 봇넷, Spotify, Fortnite 등의 계정등을 판매 및 월$5~$80의 가격으로 임대 가능

인스타그램이 다른 소셜미디어에 비해 포스팅 내용에 대한 규제가 약한 편임

판매자는 대부분 미숙한 해커들로 보임(자신의 얼굴을 노출 등의 자신의 신상을 노출함)

판매/임대를 위해 심지어 인스타그림 ""스토리"" 기능까지도 사용(스토리: 사진,동영상 슬라이드 등이 24시간 동안 포스팅된수 자동 삭제되는 기능)

https://www.hackread.com/hackers-selling-fortnite-accounts-botnet-on-instagram/"