지난 2월 초에 온라인 데이트 사이트인 PlentofFish(POF)가 해킹을 당해 약 2800만 건의 데이터가 누출되었다고 알려드린 적이 있습니다.
인터넷 불륜 사이트, 해킹으로 2,800만 이용자들 화들짝! 놀라
http://moonslab.com/1250

그런데, POF를 해킹한 아르헨티나 해커인 Chris Rosso는 이번에는 eHarmony 사이트를 해킹하여 서버 정보 뿐만 아니라 수천명의 개인 정보까지 보유하고 있으며, 이 사이트를 판매한다는 광고까지 내건것으로 확인되고 있습니다.


위의 하면은 carder.biz 포럼에 올려진 글이며, 이와 별개로 diversitybusiness.com의 150만개의 개인정보를 1,500 달러에 판매한다는 글, pixmania.com, eidos.com 등에 대한 것들도 올라와 있습니다.

eHarmony의 기술 담당자인 Joseph Essas에 따르면 Russo는 advice.eharmony.com에서 사용하는 서드파티 라이브러리 중 하나에서 SQL Injection 취약점을 발견하였으며 이를 이용하여 공격한 것이라고 밝혔습니다.

또한 Russo는 보안 서비스를 받도록 요구한 바가 있으며 이는 POF와 동일한 사례로 보입니다.

이와 같이 최근에는 데이터베이스가 알차다고(!) 여겨지는 사이트의 해킹이 줄을 잇고 있으며 이러한 해킹의 주요한 원인은 SQL 인젝션 취약점으로, 앞으로도 개선할 부분이 많으며, 꾸준히 이러한 문제가 나타날 것으로 예상됩니다.

감사합니다.

출처: http://krebsonsecurity.com/2011/02/eharmony-hacked/?utm_medium=twitter&utm_campaign=winsec&utm_source=%40winsec
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    인터넷 채팅 사이트는 매춘이나 불륜의 온상지가 된지 이미 오랩니다. 국내도 마찬가지이지만 이번에 캐나다에서 운영하고 있는 온라인 데이트 사이트인 PlentyofFish(이하 POF)에서 SQL 인젝션 취약점으로 인해 대규모의 개인정보 누출 사고가 발생했습니다.

    이 사고는 POF의 CEO인 Markus Frind가 자신의 블로그에 해킹에 관련된 정황을 서술하면서 밝혀졌습니다.

    POF는 월방문자가 1억 4,500만명에 이를 정도로 유명한 사이트로 이번 사고로 인해 2,800만명 이상의 정보가 누출되었습니다.

    사고의 범인은 아르헨티나 출신의 보안 전문가인 Chris Russo로, 러시아의 해커와 함께 해킹을 주도하고 있다고 주장하고 있습니다.

    Russo에 따르면, 지난 1월 21일에 POF 사이트에서 SQL Injection 취약점을 발견했으며 이 취약점을 통해 사용자 이름, 비밀번호, 주소, 메일 주소, 전화번호, 페이팔 계정 정보 등 약 2,800백만 명 이상의 정보를 확인할 수 있었다고 합니다.

    해킹을 한 이유는 자신 및 자신이 관리하는 팀을 POF에서 고용하기를 요구하는 것으로 파악되고 있으며 금액은 1년에 약 10만 달러 이상을 요구한다고 Frind가 블로그에서 언급했습니다. 물론, 고용하지 않으면 백업한 데이터베이스를 인터넷에 공개한다고 엄포를 놓았습니다.

    만약 정보가 공개된다면, 이 사이트를 이용한 방문자의 행태 및 성향이 공개될 가능성이 매우 높으며 특히 유부남/녀의 불륜과 같이 사회통념상 문제의 소지가 있을 만한 부분이 알려진다면 사회적으로 많은 파장을 불러 올 것으로 예상됩니다.

    한편, 유명한 보안 기업인 White Hat의 공동 창업자인 Jeremiah Grossman는 Russo가 유튜브에 공개한 해킹 동영상을 검토한 결과 공격에 이용할만한 심각한 취약점은 보이지 않는다고 밝혔습니다.

    하지만, 그 이후에 Frind의 블로그에서는 SQL Injection 공격이 있었다는 POF의 공식적인 답변이 올라와 있습니다.

    이처럼 대형 사이트에서는 보안 취약점 중 특히 웹 취약점을 해결하기 위해 스캐너와 보안 코딩을 적용해가고 있지만, 완벽하게 막을 수 없다는 사실을 한번 더 상기하는 사례라고 볼 수 있습니다.

    관련 기사:  http://www.scmagazineus.com/dating-site-plentyoffish-hacked-to-expose-passwords/article/195382/
    관련 블로그: http://plentyoffish.wordpress.com/2011/01/31/plentyoffish-hacked/
    유튜브 동영상: https://www.youtube.com/watch?v=7RBYkk5Vq4M&feature=youtu.be (삭제됨)

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory