2020-04-08 News Cliping

620만 가입자 스타일쉐어, 해킹으로 고객 개인정보 유출
수집 날짜	2020-04-08
원문 링크	https://www.boannews.com/media/view.asp?idx=87446&kind=&sub_kind=
내용 요약
620만 가입자의 패션플랫폼 ‘스타일쉐어’가 해킹을 당해 고객 개인정보가 유출됐다고 밝혔다. 스타일쉐어는 홈페이지 공지를 통해 지난 4월 4일 서버접속 장애를 겪은 후, 외부 접속을 확인했다고 밝혔다. 스타일쉐어는 4월 4일 오후 9시 30분경 일시적인 서버접속 장애가 발생해 원인을 파악하던 중, 외부 접속자가 일부 회원 계정정보에 접근했다는 사실을 발견하고 즉시 모든 외부 침입자의 접속을 차단함과 동시에 한국인터넷진흥원에 개인정보 유출과 해킹신고를 접수했다고 설명했다. 이번 해킹에서 아이디, 사용자 이름, 일부 사용자의 생일, 배송지 정보, 성별, 암호화된 이메일 주소, 암호화된 전화번호 등이 유출됐지만, 이메일 주소와 전화번호는 안전하게 암호화 처리되어 있어 광고성 메일 또는 보이스피싱 등의 2차 피해 가능성이 없다고 스타일쉐어는 밝혔다.

“수업 중 음란물…” 줌 해킹 피해 계속되자 사용 중단 지시까지
수집 날짜	2020-04-08
원문 링크	https://www.wikitree.co.kr/articles/521221
내용 요약
화상회의 플랫폼 줌은 코로나바이러스의 세계적 대유행과 함께 급부상하며 많은 기업과 교육기관의 선택을 받았다. 그런데 줌의 보안이 취약하다는 지적이 끊이질 않고 있어 '줌 공격(ZOOM Bombing)'이라는 신조어까지 생겼다. 뉴욕타임스는 지난 3일 줌이 혐오와 폭력의 장이 될 가능성이 우려된다고 보도했다. 또한 줌 이용자의 개인 정보 노출에 대한 우려도 심각하다고 전해졌다.줌에 가입하면 고유한 회의룸 ID가 발급되는데 이를 추측하거나 검색한 누군가가 무단으로 화상회의실에 입장이 가능한 점도 문제가 되고 있다. 결국 뉴욕 교육청은 줌 사용을 금지했다고 6일 세계일보가 전했다. 와이어드는 이미 지난해 9월 줌 이용자의 노트북 카메라나 컴퓨터의 웹캠에 해커들이 쉽게 접속할 수 있다고 전했었다. 지난 2일 줌 CEO 에릭 유안은 보안상 취약한 줌의 허점에 대해 공식적으로 사과하며 해킹 등의 문제를 해결하겠다고 전한 바 있다.

인기 디지털 지갑 애플리케이션 키링, 수백만 사용자 정보 노출
수집 날짜	2020-04-08
원문 링크	https://www.boannews.com/media/view.asp?idx=87453&kind=14
내용 요약
인기 높은 디지털 지갑 애플리케이션인 키링(Key Ring)에서 사용자 정보 유출 사고가 발생했다고 VPN 보안 업체 vpn멘토(vpnMentor)가 발표했다. 키링은 사용자의 핸드폰에 디지털 지갑을 생성해 주는 앱이며, 회원증이나 고객 카드의 사진을 찍거나 스캔해서 업로드 하는 기능도 가지고 있다. 사용자들은 주로 이 기능을 활용해 신분증과 면허증, 신용카드 등을 보관한다. vpn멘토에 의하면 키링이 회사 차원에서 관리하고 있는 AWS S3 버킷이 잘못 설정되어 사용자들이 업로드하고 있는 데이터들이 전부 노출된 상태라고 한다. 이 때문에 조사를 확대시킨 vpn멘토는 키링 소유의 S3 버킷을 네 개 더 찾아냈고, 전부 설정이 잘못 되어 있는 상태였다. 하나 같이 민감한 데이터를 저장하고 있었다. 언제부터 S3 버킷이 인터넷에 노출되어 있었는지는 확실히 알 수 없다. vpn멘토가 스캔을 통해 민감한 데이터가 버젓이 공개되어 있는 걸 발견한 건 지난 1월의 일이다. 정확한 사태를 파악하고 키링과 AWS 측에 이를 알린 건 2월 18일이고, 해당 버킷들은 20일 즈음 전부 안전한 상태로 전환됐다. vpn멘토 측의 상세 발표문은 여기(https://www.vpnmentor.com/blog/report-keyring-leak/)서 열람이 가능하다.

애플, 사파리에서 제로데이 발견한 전문가에게 7만 5천 달러 수여
수집 날짜	2020-04-08
원문 링크	https://www.boannews.com/media/view.asp?idx=87447
내용 요약
애플이 한 보안 전문가에게 7만 5천 달러의 상금을 수여했다. 사파리 브라우저에서 총 7개의 제로데이를 발견했기 때문이다. 이 중 세 개만 익스플로잇 해도 iOS와 맥OS에 기본 탑재되어 있는 카메라와 마이크로폰에 접근할 수 있게 된다고 한다. 이로써 아이폰과 맥 사용자를 염탐할 수 있게 되는 것이다. 이 전문가는 라이언 피크렌(Ryan Pickren)으로, 이미 2019년 12월에 해당 취약점들을 전부 애플에 전달했다. 애플은 1월 28일 제일 먼저 사파리 13.0.5 버전을 통해 문제를 해결했다. 나머지 제로데이들은 3월 24일 발표된 사파리 13.1 버전을 맞아 사라졌다. 제로데이들의 관리 번호는 CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, CVE-2020-9787이다.

NASA sees an “exponential” jump in malware attacks as personnel work from home
수집 날짜	2020-04-08
원문 링크	https://arstechnica.com/information-technology/2020/04/nasa-sees-an-exponential-jump-in-malware-attacks-as-personnel-work-from-home/
내용 요약
NASA는 지난 월요일 며칠 동안 직원들이 집에서 일할 때 악성 사이트 공격에 기하 급수적으로 증가한 악성 코드 공격과 두 배의 에이전시 디바이스 액세스를 경험했다고 밝혔다. 코로나 펜데믹으로 이메일 피싱 시도가 배로 늘어났으며, NASA 시스템에서 멀웨어 공격의 기하 급수적 증가, 사용자가 인터넷에 액세스하여 악의적인 사이트에 액세스하려고 시도하는 경우가 증가하였다. NASA는 직원들에게 민감한 정보, 사용자 이름 및 비밀번호에 대한 액세스, 서비스 거부 공격 수행, 정보 유포 및 APT 공격이 있으며, 사이버 범죄자들은 ​​악의적 인 첨부 파일과 사기성 웹 사이트에 대한 링크가 포함 된 전자 메일 전송을 증가시켜 피해자가 중요한 정보를 공개하도록 유도하고 NASA 시스템, 네트워크 및 데이터에 대한 액세스 권한을 부여하려고 시도했다고 공지했다.

Twitter warns users – Firefox might retain private messages
수집 날짜	2020-04-08
원문 링크	https://nakedsecurity.sophos.com/2020/04/07/twitter-warns-users-firefox-might-hold-on-to-private-messages/
내용 요약
Twitter 경고 – Firefox가 개인 메시지를 보관할 수 있음 트위터는 다음과 같은 내용의 "프라이버시"라는 태그가 붙은 블로그 기사를 게재했다. 모질라 파이어폭스가 캐시된 데이터를 저장하는 방식이 브라우저의 캐시에 무심코 저장되는 결과를 낳았을 수도 있다는 것을 알게 되었다. 이는 모질라 파이어폭스를 통해 공유 또는 공용 컴퓨터에서 트위터에 접속해 트위터 데이터 아카이브를 다운로드하거나 직접 메시지를 통해 미디어를 보내거나 받는 등의 조치를 취했다면, 트위터에서 로그아웃한 후에도 이 정보가 브라우저의 캐시에 저장되었을 수 있다는 것을 의미한다고 발표했다.