6500만건의 Tumblr 계정 유출

6500만건의 Tumblr 계정 유출

Revealed: 65 million Pre-Yahoo Acquisition Tumblr Accounts Were Hacked

6500만건의 Tumblr 계정이 해킹당했습니다. 하지만 이 해킹은 2013년에 발생한 것으로, 야후가 해당 플랫폼을 관리하기 전인 것으로 확인되었습니다. 

Tumblr는 최근 자신들의 시스템이 공격을 받아 사용자 계정이 유출되었다고 밝혔습니다. Tumblr측은 공격은 2013년도에 이미 발생햇지만, 최근에서야 공격당한 사실을 알았다고 하였습니다. 사측은 유출된 사용자 정보의 양을 공개하지 않았지만, 보안연구원이 분석해본 결과 유출된 회원정보는 약 6800만건으로 추측됩니다. 

Hacked-DB의 인터넷스파이 및 지하 인터넷의 전문가인 Atar Kochavi는 최근 보안취약점 정보를 발견했으며, Kochabi는 HackRead에게 공격당한 사용자계증 수는 65469298개에 달한다고 밝혔습니다. Hackread는 Tumblr에게 사실확인을 요청하였지만 Tumblr측은 거절하였습니다. 

만약 Tumblr의 회원이고 당신의 정보가 유출되었다면, Tumblr측에서 보낸 경고 메일을 수신했을 것입니다. 

다행인 것은, 유출된 데이터에 포함된 비밀번호는 평문이 아니였으며, 해시로 암호화가 되어 있었습니다. Tumblr는 유출된 정황에 대해 발표할 때 그들이 비밀번호를 암호화 할 때 비밀번호 앞에 몇자리의 랜덤한 숫자를 추가했다고 밝혔습니다. 하지만 그들이 사용한 암호화 알고리즘에 대해서는 밝히지 않았습니다. 

Tumblr가 이번 정보유출 사건을 발표한 후, 이 데이터들은 아마 지하 정보시장에서 유통되기 시작하였을 것입니다. 왜냐하면 LinkedIn을 공격했었던 Peace 해커가 말하길, 그는  Tumblr에서 유출된 데이터를 갖고있으며, 지하시장에서 판매한다고 밝혔기 때문입니다. 또한 그는 Tumblr는 암호화를 할 때  SHA1을 사용했다고 말했습니다.하지만 Tumblr는 비밀번호를 암호화 할 때 salt값를 적용했기 때문에 해커가 복호화를 하기가 힘들 것이라고 말했습니다. 

Peace는 그가 갖고있는 DB는 유출된 비밀번호의 일부분이며, 150달러의 가치밖에 되지 않는다고 말했습니다. Kochabi역시 공격시간과 공격이 밝혀진 시간의 갭이 클 뿐만 아니라 2013년도에는 비밀번호의 보안레벨이 그렇게 높지 않았기 때문에 이미 복호화 되었을 가능성이 크다고 말했습니다. 

Kochabi는 이는 지금까지 정보유출 사건 중에서 세번째로 큰 유출 사태로, MySpace.com 정보유출사건으로 4.27억건의 계정정보 유출과 Adobe의 1.52억건의 계정정보 유출사건의 뒤를 이었습니다. 

이번달 초, LinkedIn역시 몇년 전에 정보유출이 된 흔적을 발견하였으며, MySpace역시 이번달에 공개되었습니다. 현재 아직까지 얼마나 많은 정보유출 사건이 일어난지 밝혀지지 않았지만, 여기에서 볼 수 있듯이 모든 사람들은 이미 해커의 공격을 받았을 가능성이 있으며, 이런 정보들이 점차 수면위로 모습을 드러내고 있는것입니다. 

출처 : 

https://www.hackread.com/pre-yahoo-acquisition-tumblr-accounts-hacked/