'Crhis Russo'에 해당되는 글 1건

  1. 2011.02.01 인터넷 불륜 사이트, 해킹으로 2,800만 이용자들 화들짝! 놀라 (3)

인터넷 채팅 사이트는 매춘이나 불륜의 온상지가 된지 이미 오랩니다. 국내도 마찬가지이지만 이번에 캐나다에서 운영하고 있는 온라인 데이트 사이트인 PlentyofFish(이하 POF)에서 SQL 인젝션 취약점으로 인해 대규모의 개인정보 누출 사고가 발생했습니다.

이 사고는 POF의 CEO인 Markus Frind가 자신의 블로그에 해킹에 관련된 정황을 서술하면서 밝혀졌습니다.

POF는 월방문자가 1억 4,500만명에 이를 정도로 유명한 사이트로 이번 사고로 인해 2,800만명 이상의 정보가 누출되었습니다.

사고의 범인은 아르헨티나 출신의 보안 전문가인 Chris Russo로, 러시아의 해커와 함께 해킹을 주도하고 있다고 주장하고 있습니다.

Russo에 따르면, 지난 1월 21일에 POF 사이트에서 SQL Injection 취약점을 발견했으며 이 취약점을 통해 사용자 이름, 비밀번호, 주소, 메일 주소, 전화번호, 페이팔 계정 정보 등 약 2,800백만 명 이상의 정보를 확인할 수 있었다고 합니다.

해킹을 한 이유는 자신 및 자신이 관리하는 팀을 POF에서 고용하기를 요구하는 것으로 파악되고 있으며 금액은 1년에 약 10만 달러 이상을 요구한다고 Frind가 블로그에서 언급했습니다. 물론, 고용하지 않으면 백업한 데이터베이스를 인터넷에 공개한다고 엄포를 놓았습니다.

만약 정보가 공개된다면, 이 사이트를 이용한 방문자의 행태 및 성향이 공개될 가능성이 매우 높으며 특히 유부남/녀의 불륜과 같이 사회통념상 문제의 소지가 있을 만한 부분이 알려진다면 사회적으로 많은 파장을 불러 올 것으로 예상됩니다.

한편, 유명한 보안 기업인 White Hat의 공동 창업자인 Jeremiah Grossman는 Russo가 유튜브에 공개한 해킹 동영상을 검토한 결과 공격에 이용할만한 심각한 취약점은 보이지 않는다고 밝혔습니다.

하지만, 그 이후에 Frind의 블로그에서는 SQL Injection 공격이 있었다는 POF의 공식적인 답변이 올라와 있습니다.

이처럼 대형 사이트에서는 보안 취약점 중 특히 웹 취약점을 해결하기 위해 스캐너와 보안 코딩을 적용해가고 있지만, 완벽하게 막을 수 없다는 사실을 한번 더 상기하는 사례라고 볼 수 있습니다.

관련 기사:  http://www.scmagazineus.com/dating-site-plentyoffish-hacked-to-expose-passwords/article/195382/
관련 블로그: http://plentyoffish.wordpress.com/2011/01/31/plentyoffish-hacked/
유튜브 동영상: https://www.youtube.com/watch?v=7RBYkk5Vq4M&feature=youtu.be (삭제됨)

감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory